脆弱性管理とは?

avatar

 2017.11.28  Japanブログ編集部

エンタープライズネットワークは、デバイス、ソフトウェアインストール、ファイルコンテンツの変更を定期的に確認します。 これらの変更は、企業内のリスクを引き起こす可能性があります。 幸い、企業は基本的なセキュリティ制御を実装することでこのリスクを軽減することができます。

たとえば、企業ではファイルの整合性監視(FIM)を使用して重要なファイルの変更を監視できます。 このセキュリティ対策により、ITセキュリティチームは、ファイルの変更時期、変更方法、変更者、変更が許可されていない場合の修復方法を判断することができます。

企業内では、新しい物理的および仮想的なデバイスの追加によって潜在的に導入される脆弱性を監視するために、基盤コントロールを使用することもできます。リスクの正確な評価を取得し、セキュリティ上の脅威を最小限に抑え、コンプライアンスを維持するために、企業は脆弱性管理に目を向けるべきです。

効果的な脆弱性管理プログラムには4つの段階があります:

脆弱性スキャンプロセス

企業は、IT資産のどれを保護する必要があるかを判断することなく、リスクを適切に管理することはできません。セキュリティを管轄する組織では、より高い機密資産、ユーザーアクセス、システム可用性への物理的または論理的な接続などの要因を活用して、資産のリスク要因を確認する必要があります。 その後、各アセットの所有者を特定し、スキャン頻度を設定する必要があります(インターネットセキュリティセンターでは少なくとも毎週の頻度を推奨しています)、修復のためのタイムラインとしきい値を設定します。

資産の発見とインベントリ

企業が脆弱性スキャンプロセスを開発したら、企業はそのプロセスに従う資産を決定する必要があります。 彼らは資産調査(別の基本的なコントロール)を徹底し、企業ネットワークにインストールされたすべてのハードウェアとソフトウェアのインベントリを確認する必要があります。 そのインベントリには、承認されたデバイス/ソフトウェアのみが含まれている必要があり、これにより、セキュリティチームは承認されたデバイス/ソフトウェアのアクセスとインストール/実行を承認することができます。

また、他のアセットとの接続、構成、保守および交換スケジュール、ソフトウェアのインストール、使用法など、より詳細な情報も記録する必要があります。

脆弱性の検出

脆弱性管理プログラムの次のステップは、企業のインベントリに記録されている資産に脆弱性スキャンプロセスを適用することです。 この手順は、一般的に、自動脆弱性スキャンの形をとります。 完了すると、特定の発見された資産の弱点を明らかにする可能性があります。

報告と救済

スキャンで脆弱性が検出された場合、その弱点を報告し修復するのはセキュリティ管轄組織の責任です。 効果的な報告と修復には、通常発見されたすべての脆弱性に優先順位を付け、それらのランキングに基づいてパッチのスケジュールを作成することが含まれます。 完全な修正が利用できない場合、セキュリティチームはパッチが適用されていない脆弱性によるリスクを軽減するための回避策があるかどうかを調査する必要があります。

しかし、企業はそこで停止する必要はありません。 追加機能を備えたツールに投資することで、脆弱性管理プログラムの有効性を高めることができます。

考慮するアドオン機能には、次のものがあります。

  • リスクスコアリング:
    CVSSなどの定量的な脆弱性スコアリングシステムに頼るだけでなく、企業は独自の要件や業界の仕様に基づいてネットワーク上で発見された脆弱性を評価することができます。その目的のために、リスクスコアリングを使用して脆弱性管理データをカスタマイズし、デジタル脅威から自分自身をよりよく保護できるツールを選択する必要があります。
  • 資格審査:
    企業内は、管理者資格情報を使用してファイルシステム、レジストリ、および構成ファイルをスキャンする脆弱性管理ツールに投資する必要があります。これらのタイプの評価は必ずしも必要ではありません。ただし、非認定資格審査に欠けているレベルのレベルを提供し、より正確な脆弱性スキャン結果を得ることができます。
  • IDとアクセス管理:
    企業は、脆弱性管理データを分離してユーザーアクセスを分割できるツールを使用することで、脆弱性管理システムと検出サービスを統合する必要があります。これにより、これらの情報にアクセスを限定することができます。
  • ITとセキュリティの統合:
    脆弱性管理プログラムと探索サービスを統合するだけでなく、企業はIT運用およびセキュリティチームと連携するようにプラットフォームを構成する必要があります。これにより、特定のビジネス目標を追求してリソースを最適化することができます。
  • 報告:
    脆弱性が発見されたら、脆弱性管理ツールを使用して、監査人、経営幹部、およびさまざまな聴衆に適切なレベルのデータを含むレポートを生成することができます。また、フィルタを使用してこれらのレポートをカスタマイズし、その役割に基づいてユーザーにこれらの分析を配布する必要があります。これらのレポートは、企業内がセキュリティ予算を管理し、関連するデータセキュリティ標準フレームワークへの準拠を維持するのに役立ちます。

Tripwireには、Tripwire IP360の次のような利点がすべて備わっています。 既存のツールやシステムと統合することで、企業内がすべての資産を発見し、脆弱性の優先順位を決め、手作業を最小限に抑えることができます。 Tripwire IP360には、最上位のリスクを識別する高度な脆弱性スコアリングも装備されています。

TRIPWIRE IP360 データシート

RECOMMEND関連記事


RECENT POST「脆弱性管理」の最新記事


この記事が気に入ったらいいねしよう!