本編は、成功を生み出す脆弱性管理プログラムを構築するための3部完結シリーズの締めくくりです。
パート1は、ステージ1の脆弱性検査プロセスの決定に重点的に取り組みました。人々とプロセスという土台がなければ、残りのステージは失敗しやすくなります。パート2では、ステージ2と3の、脆弱性検査のテクノロジを使用した資産の検出と一覧化、それに続けて既知の資産における脆弱性の検査に焦点を当てました。
このパート3では、ステージ4‐「報告と修正」をご紹介し、4つの段階に分割した脆弱性管理プログラムのベストプラクティスを最終ステージで締めくくります。
ステージ4:報告と修正
脆弱性の検査が終了すると、以下の3つの要因に基づいた指数関数的アルゴリズムを使用して、各脆弱性にスコアがつけられます。
- その脆弱性を悪用するのに必要なスキル
- その脆弱性を悪用できた場合に得られる特権
- その脆弱性が公開されてからの経過期間
脆弱性の悪用が容易で、かつ得られる特権レベルが高いほど、Tripwire IP360ではリスクスコアが高くなります。加えて脆弱性が公開されてからの日数がたつと、脆弱性スコアも増加します。
最初にとるべき基準値は、その組織の総合基準値となる平均IP360リスクスコアです。
脆弱性管理で成功しているトリップワイヤの顧客は、対前年比で10%から25%リスク削減を目標にすることからスタートしています。プログラムが成熟するにしたがって、組織が達成すべきIP360リスクスコアの目標値を設定することができます。初年度は、資産単位のリスクスコア5,000以下というのが適当な目標でしょう。
多くの成熟した組織は、さらに低い平均値を得ようと努力し、スコアが1,000以上のすべての脆弱性に重点的に取り組んでいます。
次に取るべき基準値は、所有者(Owner)別の平均的なIP360リスクスコアです。
資産の所有者は、最初のステージ1で確認されます。したがって、各所有者は彼らの資産の基準値となるIP360 リスクスコアを見ることができます。組織全体の目標値と同様、各所有者は、組織にとって許容範囲の閾値を下回るまで、平均リスクスコアが対前年比で10%から25%削減することを目標にするべきです。
システムの所有者もまた、競争心を生むためにも、他のシステムの所有者と比較して自分のスコアを見ることができるようにするべきです。スコアが最も低かったシステムの所有者は、その努力が報われるべきです。
改善を進めるため、システムの所有には、どの脆弱性を修正すべきか、そして修正をどう実行するかの指示について、要点を説明する経験的な脆弱性データが必要になります。レポートでは、最も脆弱なホスト、最も高い脆弱性スコア、および/または特定の非常に脆弱なアプリケーションの概要を報告します。これによって、システムの所有者は最大のリスクを削減する脆弱性に焦点を絞ることができるようになるでしょう。
新たな脆弱性スキャンを実行すると、新しい脆弱性スキャンから得た測定値を前回までのスキャンと比較し、リスクの傾向分析と改善の進捗を示すことができます。
修正を追跡するために使用することができる測定基準は以下のとおりです。
- 各資産についての所有者別および全体の脆弱性スコアの平均は?
- インフラベースの脆弱性を修正するには、所有者別および全体で平均してどのくらいの時間がかかるか?
- アプリケーションベースの脆弱性を修正するには、所有者別および全体で平均してどのくらいの時間がかかるか?
- 最近、脆弱性をスキャンしていない資産の割合はどのくらいか?
- リモートからシステムの特権アクセスを得るために悪用できる脆弱性は何件あるか?
ある組織にとって、長期的な改善サイクルを見込みプログラムを構築する初期のステージにおいて、脆弱性スコアの平均が非常に高いのは珍しいことではありません。カギとなるのは、月ごと、四半期ごと、年ごとの進捗を示すことです。
チームがそのプロセスに慣れ親しみ攻撃者がもたらすリスクについて知識を深めるにつれて、脆弱性リスクスコアと改善にかかる時間は減少するべきです。
脆弱性とリスクの管理はつねに進行中のプロセスであり、最も成功したプログラムは絶えず順応し、組織内のサイバーセキュリティー・プログラムが掲げるリスク削減目標と連携しています。プロセスのレビューは日常的に行うべきで、スタッフは最新の脅威や情報セキュリティについてのトレンドに遅れずについていくべきなのです。
連続的展開が確実に、全て準備万端に整っているようにすれば、プロセスやテクノロジが企業の脆弱性およびリスク管理プログラムの成功を確かなものにします。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。