脆弱性管理(VM)は、組織が環境内のリスクを軽減するための重要なプロセスです。しかし、世の中にはVMに関する多くの思い込みや誤解が溢れています。たとえば、多くの企業はパッチ管理と同様のやり方で脆弱性管理を行おうとしています。また、すべての攻撃が脆弱性に関係していると誤解していたり、どのソフトウェアパッチも問題なく動作するという誤った認識を持っている人もいます。
デジタルセキュリティチームが、このような誤った認識を持っていれば、脆弱性管理プロセスに問題が生じる可能性があります。それにより、企業のデジタルセキュリティ体制全体が弱体化するでしょう。それでは、ここからは最も陥りがちな3つの過ちについて説明します。
過ち その1:リスクの適切な優先順位付けが行われていない
情報セキュリティにおいて確かなことは、ソフトウェアの既知の脆弱性は決してなくならないということです。ソフトウェアプロバイダーは、セキュリティ情報を公開し、数多くのパッチを定期的かつ的確にリリースして対応しています。たとえば、Microsoftの2019年6月の月例パッチには、Windows OSおよび関連するソフトウェア内在する、88もの脆弱性に対する修正が含まれていました。一方、Oracle Technology NetworkのCritical Patch Update Advisoryは、2018年7月だけで334件の脆弱性に対応するパッチを公開しています。
これほど多くの脆弱性があることを考えれば、企業はできるだけ多くの脆弱性を修正したいと思うことでしょう。しかし、すべての脆弱性に対してエクスプロイトコードが開発されるわけではないため、そのような対処では、企業のデジタルセキュリティ体制が取るべき解決策にはなりません。Kenna SecurityとCyentia Instituteが行った調査により、実際に存在する脆弱性のうち、攻撃者が積極的に悪用しているのは、2パーセントにも満たないことがわかっています。
Kenna Securityの調査では、攻撃者らが、既知のセキュリティホールのごく一部のみを対象にエクスプロイトコードを作成する傾向があることを明らかにしています。そのため、すべての脆弱性を同じ重みで扱うことに意味がないことがわかります。また、現在行っている対策をすべてやめて、メディアがさしたる根拠もなく騒ぎ立てている脆弱性にすべての力を注ぐというのも有益ではありません。
その代わりに、脆弱性管理に優先順位を付けて取り組む必要があります。TechBeaconは、ネットワーク経由のアクセスや外部の脅威によるアクセスを可能にする脆弱性に特に注目することを推奨しています。さらに、リスクの公式を使用して、環境に与える危険性に基づいて各脆弱性の重大度を計算する必要があります。この計算を行う際には、脅威に関係する情報、ビジネス上の価値、および標的とされるシステムの役割を考慮しなければなりません。
過ち その2:ゼロデイ攻撃を考慮していない
攻撃者らが現在悪用していない既知の脆弱性にパッチを適用するためだけに時間を費やしている場合ではありません。未知の脆弱性についても危機感を持つ必要があるのです。シグネチャーベースの検出技術は、そのようなゼロデイ脆弱性には無効です。攻撃者らは、そのことと、多くの企業がゼロデイ脅威を阻止する術を持っていないことを知っています。だから、彼らはそのような「まだ発見されていない」脆弱性を突いて、企業のネットワークに侵入するための巧妙な手口を考え出しており、企業がそれに気づいたときには手遅れであるケースが増えています。
従来型のセキュリティ対策は、ゼロデイ脆弱性にはまったく効果がありません。そのため、企業は脆弱性管理プログラムに監視機能を付加する必要があります。具体的には、エンドポイントおよびネットワーク全体において疑わしいアクティビティを監視する機能です。また、最新の脅威に対抗するには、このような監視機能と、脅威インテリジェンスを活用するホストベースの侵入防止システムとをバランスを取りつつ併用する必要があります。最後に、ゼロデイ脆弱性が悪用された場合にも迅速に対処できるように、堅牢なインシデント対応計画を策定しておきましょう。
過ち その3:脆弱性管理に対する無秩序なアプローチ
既知の脆弱性と未知の脆弱性の両方を緩和するために、脆弱性対策を調整することは容易ではありません。特に、脆弱性管理に対して無秩序な対策がとられている企業ではそうなるでしょう。詰まるところ、それは技術の問題ではなく、人とプロセスの問題であるケースが多いようです。TechBeaconは、多忙ですでに疲弊しているITセキュリティの専門家に脆弱性管理業務を委ねてしまっている企業が多いと説明しています。このように非効率的な職務の割り当てを行った挙句に、脆弱なポリシーといくつもの異なるソリューションを与えてその埋め合わせをしようとする企業も数多くあります。
このような問題を回避するために、Trace SecurityとTechBeaconは、職務の重要な部分として、脆弱性管理に時間を費やすことのできる人物に責任を割り当てるべきという考えを支持しています。また、システムの所有者向けに、管理する資産の脆弱性スコアをベースにしたインセンティブプランを作成することも勧めています。The State of Securityでは、次のように説明しています。
人はアメ(ご褒美)があるとやる気が出るものです。従業員に喜んで仕事をしてもらうには、賞を与えるのが一番よいのです。また、同僚同士のちょっとした競争は効果的です。システムの所有者にレメディエーションタスクを割り当てて、問題修正の進捗を追跡する際には、ツールのワークフローを使用するようにしてください。
さらに、満遍なく脆弱性管理に取り組めるようにするために、適切な戦略を策定する必要もあります。御社に適した脆弱性管理ソリューションに投資することにより、その取り組みを補うことができます。この購入者向けガイドがその取り組みの助けとなるでしょう。
脆弱性管理の第一歩
ここまでに説明したすべてのことは、脆弱性管理プログラムを強化するための正しい方向性を決めるうえで役立ちます。しかし、これらのステップを実行したら終わりであると考えてはいけません。脆弱性管理は継続的なプロセスであり、そのことを念頭に置く必要があることを認識すべきです。
Tripwireが御社の脆弱性管理プログラムをどのように支援できるかについては、こちらをご覧ください。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
