若いころ、私はさまざまなチームスポーツをして、チームメイトと共に、相手チームと戦うことを楽しんでいました。勝つためには、適切な戦術と戦略、しっかりとした攻撃と防御に加え、スキル、才能、運の組み合わせが必要でした。今、私は年を取り、スポーツはプレーするより観るものとなりました。チームスポーツ、なかでもプロレベルのスポーツからは多くのことを学ばせてもらっています。技術的なトピックも、スポーツと同じように取り組むことができます。この投稿では、脆弱性管理(VM)を取り上げてみます。ここでの「管理」というキーワードは、リスクに対処するための積極的かつ継続的なアプローチを意味します。野球場でのダイナミックなアクションと同じように、脆弱性管理も常に変化し、ほとんど予測ができないものです。また、どちらにも積極的な参加が必要です。
スポーツには、ディフェンスは優勝を導くという格言があります。この格言について、スポーツの世界では賛否両論ありますが、ビジネスの世界においては、データ侵害から企業を守ることが必要不可欠です。継続的な脆弱性管理は、CISクリティカルセキュリティコントロールにおける3番目の対策であり、ビジネスで勝ち抜くための防衛の役割を担っています。
脆弱性管理を理解するには、脆弱性の定義について共通の認識を持つことが重要です。脆弱性とは、モノリシックでバイナリであるという誤解があります。「脆弱性にパッチを適用しなければならない」と言うのを頻繁に耳にしませんか?脆弱性とは、修正したら忘れてしまって構わない特異的なものだという考えは危険です。特定の弱点ではなく、保護したいものに焦点を移すと、「私たちはどれだけ脆弱か?」という質問に変わります。言い換えれば、「脅威が自分たちの重要な資産に害を及ぼす可能性はどの程度か?」と言うことになります。サッカーは良い例えです。重要な資産とはゴールであり、脅威は得点しようとする相手チームです。ゴールは常に攻撃に対して脆弱です。ディフェンダーとゴールキーパーがいれば脆弱性は低く抑えられ、いなければ脆弱性が高くなります(攻撃者がその脆弱性を突くことができるという意味ではなく、可能性の問題です)。
脆弱性管理とは、脅威が損害を引き起こす可能性を低減するためのプロセスです。SANSは、脆弱性管理を成功させるための手順を概説するシンプルなフレームワークを開発しました。これは、Prepare(準備)、Identify(特定)、Analyze/Assess(分析/評価)、Communicate(伝達)、Treat(処理)で「PIACT」と呼ばれます。
Prepare(準備)
スポーツでは準備が不可欠です。練習、体の調整、戦術と戦略を学ぶことはすべて、勝てるチームを作るための要素です。脆弱性管理もまた同じです。保護の対象となる重要な資産を特定し、重要度を判断し、弱点を評価する計画を策定し、弱点が見つかった場合の対処方法を理解します。
ビジネスチームは、優れたスポーツチームのように、皆で協力して重要な資産を特定し、リスク許容度を決定し、脆弱性の特定・処理に関する計画を策定する必要があります。この場合のプレーヤーは、ITおよびセキュリティのプロ、システムの所有者、および経営幹部です。チーム全員の取り組みにより、資産を適切に分類することが可能になり、パッチおよびレメディエーション計画とビジネス目標の間の矛盾を回避できます。チームそのものが、リスク管理プロセスの一部なのです。
Identify(特定)
特定は、計画の策定における最初のステップです。サッカーのコーチは、どの選手が試合の準備ができているか、誰が負傷しているか、対戦相手にはどの選手で戦うべきかを知る必要があります。それと同様に、VMチームはどの資産を保護する必要があるかを特定し、それらの優先順位付けを始めます。アップタイムの必要条件があるのは、どの資産か?最も重要なデータが格納されている資産はどれか?リスクにさらされる場所にあるのはどの資産か?
重要なデータが格納されている資産、あるいは重要なプロセスが実行される資産はすべて特定する必要があります。これには、クラウドサーバーやモバイルデバイスも含まれます。これらの資産へのアクセスパスも、潜在的なリスクポイントとして評価する必要があります。
このプロセスを自動化する方法の1つが資産検出です。スキャンを実行して、ネットワーク上のIPを持つすべてのデバイスを検出することは、資産インベントリを調整(または作成)する(CISコントロールNo.1)方法の1つです。これは、「環境の分析と評価を行う」という次のフェーズに移る前に必要な作業でもあります。
Analyze/Assess(分析/評価)
一流のスポーツチームは、高度なテクニックを使用して、選手の体と体調を分析しています。あるツール・ド・フランスの選手は、レース期間中には、何をいつ、どれだけ食べるか、いつ飲むか・・・など1日の行動のあらゆることを管理されていたという話を聞いたことがあります。栄養士と専門家は、トレーニング中の選手を研究し、彼が最も早く走るには、何をいつ摂取する必要があるかを正確に知っていました。
私たちが最も重要なIT資産のリスクを評価する際には、同じような厳しさが必要です。現在どのようなコントロールの準備が整っているか、どのようなコントロールを実施すべきか、弱点が悪用されたらどのような影響があるかを理解することは、資産のセキュリティの状態を判別するのに確実に役立ちます。評価の結果、優先順位付けと、それらをどのように実行していくかが導かれます。
リスクの評価は、脆弱性スキャンを実行するのと同じぐらいシンプルな場合もあれば、資産に影響をあたえるすべてのコントロールを評価するのと同じように難しい場合もあります。分析が深いほど、ビューはより完全かつ複雑なものになります。そのため、適正な範囲で行うことをお勧めします。まずは、アクセス制御とアクセス権を持つユーザーを評価し、Tripwire IP360などの信頼できる脆弱性スキャンを実行したり、Tripwire Enterpriseを使用してCISのベンチマークを基準にしたコントロールを実行することから着手するとよいでしょう。技術的なコントロールを評価するための良い出発点となるはずです。
Communicate(伝達)
そろそろTreat(処理)のフェーズにジャンプしたいと思うかもしれませんが、それは時期尚早です。レメディエーションを始める前に、分析結果を適切な相手に伝達することが重要です。評価のフェーズからは、推奨事項、優先順位および各資産に対する潜在的な影響が導き出されます。それらには、さまざまなグループによる作業や、ツールを確保するための支出、プロセスの変更などが伴うため、評価チームは、ITオペレーション、システムの所有者、および経営幹部に結果を伝達する必要があります。リスクにどう対処するかはビジネス上の判断であり、他の戦略的なゴールとのバランスが重要です。さらに、経時的なリスクの状態を伝達する手段を開発すれば、将来の取り組みへの資金を確保し、現在進行中のイニシアチブの効果を経営陣に理解してもらうためのスコアカードの提供にも役立ちます。
これは、スポーツの世界のスターティングメンバーのようなものだと思います。専門家とトレーナーは1週間ずっと練習を見てきて、マネージャーは誰がスタメンで、誰がベンチに入るのかを選択しなければなりません。どのチームにもスタメンの数より多くの選手がいます。そのため、IT資産の管理のように、ヘッドコーチは誰を優先的に使うかを決めることになります。そのようにしてゲームが始まります。
Treat(処理)
これは、脆弱性管理におけるゴールです。弱点を処理してリスクを縮小するフェーズとなります。脆弱性管理自体と同様に、これもまた、1回のイベントではなく、継続的なプロセスです。このフェーズには、パッチ適用プロセスやポリシーの導入、変更管理などの活動のアップデート、および定期的なスキャンや評価を行って適切な対策を実行してうまく機能しているかを確認することなどが含まれます。そして、そのサイクルを繰り返します。
トレーニング、プレー、試合のサイクルをシーズンを通して毎週毎週繰り返し、ときには優勝戦で勝利することもあるでしょう。そして、そのシーズンが終わると、すぐに次のシーズンが始まります。脆弱性管理の世界も、まったく同じです。敵の一歩先を行き、勝つためのプレーを続けます。
脆弱性管理への支援をお探しですか?
Tripwireなら、御社の脆弱性管理チームの一員になれます。Tripwire ExpertOpsを利用すると、脆弱性管理プログラムをすぐに開始するためのツールと専門知識が提供されます。御社がスキルを持つ人材を求めていて、誰かに御社のセキュリティツールセットを管理して欲しいと考えているなら、Tripwire ExpertOpsは最適な選択です。すでにスキルが確保され、管理を自社で行いたいという意向であれば、Tripwireは、商用および産業システム向けの脆弱性管理、ファイル整合性管理、セキュアなコンフィギュレーション管理、マルウェア検出ツールのスイートや、プロフェッショナルサービス、ペンテストサービスを提供できます。Tripwireは、いつでも御社のセキュリティチームの一員となるつもりでいます!
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
