脆弱性管理(VM)は、一見かなり浸透しているように見えます。「あなたの会社ではVMを採用していますか?」と誰かに聞けば、ほとんどの人が「はい」と答えるでしょう。
Tripwireは、最近の調査で、実際にその質問を投げかけてみました。すると、回答者の88%がVMを使用していると答えました。ただし、「はい」と答えた人でも、その内容は、定期的なペネトレーションテストから、本格的なエンタープライズ脆弱性管理製品までさまざまです。VMベンダーがソリューションのプレゼンテーションをすると、「現在使っている製品があるので・・・」と言われ慣れているはずです。
また、脆弱性のリスクの問題は、ほとんど解決されていません。同調査では、回答者の27%が、脆弱性にパッチを適用していなかったために侵害を経験したことがあると答えています。VM市場は成長しています。つまり、企業は所有しているツールを拡張したり買い替えたりしているのです。
VMへの投資を増やそうとしている場合、あるいは買い替えを検討している場合には、「脆弱性管理プログラムが効果的であることをどのように確認できるか?」という難問に答えなければなりません。その質問にどう答えるべきかのヒントになるように、脆弱性管理に大きな効果をもたらす7つの習慣について説明しましょう。
1.企業幹部による賛同
経営陣の姿勢が重大であると言うのは簡単です。しかし、新たな計画に経営陣の賛同が得られるかをどのように見極めることができるでしょうか。まず、「賛同」を得るということについて考えてみましょう。VMの計画に適切なスポンサーがついており、見通しがある程度立っている場合には、その計画の成否が経営陣に与える影響がどの程度であるかを明確に示せなければなりません。金銭面での影響があったり、見通しに具体性が欠けている場合もあるでしょう。しかし、プログラムの成否が誰にも影響を与えない場合には、決して賛同を得られることはないでしょう。
2.資産の検出
脆弱性管理の範囲に制限を設けるということは、リスクの可視性を制限するということになります。資産の検出を脆弱性管理プログラムの中核に据えるべき理由はそこにあります。VMプログラムが資産またはビジネスの特定の領域を除外しているならば、効果的なリスクの削減は望めないでしょう。存在を把握していないリスクを排除することはできません。また、資産の検出が継続的あるいは頻繁に実行されない場合には、その情報は古く、また不正確になります。
3.スキャンの頻度
皆さんは、脆弱性管理のスローガンは「継続的なスキャンの実施」であると考えているかもしれません。しかし、そうではありません。現実には、私たちは2つの目的のためにスキャンを実行しています。1つはレメディエーションアクティビティを促進するため。そして2つ目は、リスクプロファイルにおいて有意な変更を特定することです(新しい高リスクの脆弱性を見つけるなど)。まず何よりも、スキャンの頻度は合理的なものでなければなりません。つまり、それら2つの目的に合わせるべきだという意味です。月1回の頻度でレメディエーションを行うならば、スキャンを毎日実行しても結果は改善されないでしょう。ただし、変更管理が不十分な場合に2番目の目的を達成するためには、もっと頻繁にスキャンを行うことで、リスクの一部を縮小できる可能性があります。レメディエーションアクティビティと同様の頻度でスキャンを行い、変更が発生した場合には、自動的にスキャンを行うのが理想的です。
4.ビジネスコンテキストを取り入れる
脆弱性リスクとは絶対不変なものではありません。もしあなたが絶対的なリスクという概念に基づいてレメディエーションの優先順位を決めようとするならば、リスクが残留することになるでしょう。効果の高い脆弱性管理では、検出された脆弱性および脆弱性が存在するシステムのビジネスコンテキストを優先順位付けのメカニズムに組み込んで、レメディエーションアクティビティを促進するために利用します。つまり、価値が高く、ビジネス上のリスクも大きい資産にまず対処するということです。
5.例外は例外
把握していないリスクに対処することはできません。また、スキャンに例外を設けると、未知のリスクが残ってしまう可能性があります。スキャン不能な環境内にデバイスが存在する可能性もあります。しかし、その数はなるべく少なく抑え、互いに距離を取り、できれば廃止する方向であるべきです。スキャンできない攻撃対象領域をしっかりと把握している企業は、VMの成績もよいという傾向があります。
6.メトリクスに基づく管理
パニックに陥ることは良い戦略とは言えません。しかし、情報セキュリティの世界において、パニックは大きな意味をなします。世の中には多くの不安、不確実性、疑念があふれています。しかし、効果的な脆弱性管理プログラムは、FUD(不安、不確実性、疑念)の上に成り立つものではありません。それらは、メトリクス(指標)の上に成り立ちます。もし「よい成果をあげていることがどうやってわかるか?」という問いから始めれば、進歩は約束されるでしょう。その問いからは、よい成果の定義や、成果を計測するための必要条件、および、よい成果に到達できていない理由を理解するのに役立つ数多くのメトリクスが導き出されます。メトリクスの選択肢も、どれが最良だという意見も数多く存在します。わたしはいつも組織内の適切な行動を助長するメトリクスを採用するようにしています。
7.レメディエーションワークフロー
脆弱性が呈するリスクを発見し測定するための作業とは、きれいなレポートを作成することではありません。リスクを低減するために、より良い意思決定を行うことです。大事なのは、アクションを起こすことです。効果的な脆弱性管理では、最終的に効果的なレメディエーションが実行されなければなりません。さまざまな理由によって、この作業を自動的に行ってくれる脆弱性評価ツールは存在しません。つまり、効果的なVMプログラムとは、組織内でアクションを促進するレメディエーションワークフローと統合したものであることを意味します。このようなワークフローは、組織に固有であることが多いうえに、通常は複数存在するのが悩ましい点です。
レポートを生成し、それを他のチームに丸投げするようなVMプログラムを使用しているならば、改善の余地があるのではないでしょうか。まず、組織内でどのように作業が行われるかを確認することから始め、それらのプロセスに適切なレメディエーション作業を組み込む方法を探りましょう。
脆弱性評価を行う製品は市場に多数出回っていますが、効果的な脆弱性管理製品に関しては改善の余地があります。もしあなたが脆弱性管理プログラムを所有する立場にあるならば、脆弱性が呈するリスクを管理・軽減する取り組みで最大限の効果を発揮するために、これらの7つの習慣が役立つことでしょう。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
