Tenable 技術ガイド リスクベースの脆弱性管理とは

サイバーセキュリティにおけるリスクとは

PDF版の資料ダウンロードはこちら

サイバーセキュリティにおけるリスクとは

サイバーセキュリティにおけるリスクの有無や大小は、「守るべき資産」、「脅威」、「脆弱性」の観点を定量的に判断します。
「脅威」と「脆弱性」の組み合わせが、有害事象の発生する可能性を表します。
脆弱性がない場合、または脅威がない場合、有害事象の発生する可能性はありません。
資産の重要度はビジネスへの影響を表しています。資産の重要度が低い場合、リスクは低くなります。
リスクベースの脆弱性管理は「脆弱性」の緊急度、攻撃者からの「脅威」、「守るべき資産」の重要度を確認して、最もリスクの高い問題を特定し、優先順位をつけて迅速に対応できるようにするソリューションです。

サイバーセキュリティ対策で検討すべきこと

NIST(米国国立標準技術研究所) の「重要インフラのサイバーセキュリティを改善するためのフレームワーク」は、サイバーセキュリティ対策を検討する上での観点が多くの組織でも活用できるとして一般企業でも広く参考にされています。
サイバーセキュリティフレームワークは以下の5つの対策項目で構成されています。

  • 識別:リスクの洗い出しをして、「何を」「どのような手段で」保護するのか決める
  • 防御:保護する術を手に入れる
  • 検知:異常の検出や継続的なモニタリングをする
  • 対応:緊急時の対応計画をもとにした、伝達、分析、低減や改善を行う
  • 復旧:復旧の計画をもとにした、改善と伝達を行う

サイバーセキュリティ対策で検討すべきこと

「サイバーセキュリティ対策を網羅的に実施したい」、あるいは「インシデント対応を行う組織の機能を評価および強化したい」組織において、「脆弱性」の重大度、攻撃者からの「脅威」、「守るべき資産」の重要度を確認する「識別」の対策項目を検討することは、サイバーセキュリティ対策における第一歩と言うことができます。

攻撃者は防御側に対して、平均7.3日のアドバンテージがある

攻撃者は防御側に対して、平均7.3日のアドバンテージがある

Tenable社のリサーチチームによるレポートでは、攻撃者が防御側よりもどれだけ有利な時間があるか、ということを定量化しています。
このレポートでは、エクスプロイトキットが公開されている緊急かつ重大な脆弱性を調査し、エクスプロイトキットが利用可能になってから企業や組織が脆弱性についてシステムの評価を開始するまでの時間を測定しました。
この図は、「攻撃者が先手をとる」ということを表しており、その平均値は1週間強です。
これには脆弱性を修正するのに必要な時間を含んでいません。
脆弱性の修正に1週間かかる場合は、攻撃者にはスタートから2週間のアドバンテージがあるのです。

従来の脆弱性管理ソリューションの課題

従来の脆弱性管理ソリューションの課題

1つ目の課題はアタックサーフェス(攻撃される可能性のある領域)に対して死角がある、ということです。
デジタルトランスフォーメーション、働き方改革、あるいはテレワークの推進によって、モバイル、クラウド、Webアプリケーション、コンテナー、IoT、等多くのテクノロジーが採用され、それとともに企業や組織のアタックサーフェスは拡大し続けています。
更に、脆弱性は日々発見されています。重要なサーバーの診断を定期的に行っている、という企業や組織は多いと思いますが、アタックサーフェス全体からみると、診断を行った時点での限定的な範囲の可視化が行われた、と言い換えることもできてしまいます。
多くの組織において、全ての資産の把握と、把握している資産に対する脆弱性の診断は、できていません。アタックサーフェスに対する死角は脆弱性として露出したままです。 Ponemon Instituteが発行したレポート<ビジネスオペレーションに対するサイバーリスクの管理と測定>によると、企業や組織がアタックサーフェスを十分に把握できると報告したのは29%だけでした。多くの企業や組織は、限定的な範囲の可視化しかできておらず、アタックサーフェスに対して死角があるのです。

膨大に見つかる脆弱性が2番目の課題です。
環境を適切に評価すればするほど、脆弱性と設定上の不備が見つかります。そして企業や組織は多くの脆弱性と設定上の不備に埋もれています。セキュリティ担当者は自分たちできることを修正し、何も起こらないことを祈っているのです。
先ほど言及したPonemon Instituteのレポートでは、回答者の41%が「改善の容易さに基づいて」優先順位を付けていることがわかりました。つまり、セキュリティ担当者は脆弱性が膨大に見つかるからこそ“発見した問題に対する改善方法は簡単ではなかったので、対応の優先順位を下げる“という事象が起こるのです。
 企業や組織は、最もリスクの高い問題に焦点を絞って管理する方法を必要としています。

3番目の課題は、セキュリティ担当者がビジネスに与える影響とリスクをビジネスオーナーに対して伝えることができない、ということです。
ビジネスオーナーが知りたいのは“我が社はどのくらいセキュアなのか?”ということであって、何百ページにも渡る報告や今月の脆弱性が先月よりもx%多い、y%少ないということを伝えても、リスクが許容できるかどうかを判断するのに役立ちません。
セキュリティ担当者は、ビジネスオーナーがリスクに基づいた意思決定を行うのに役立つ洞察を提供するために、リスクベースの情報が必要なのです。

リスクベースの脆弱性管理をガートナーも推奨

リスクベースの脆弱性管理をガートナーも推奨

脆弱性の重大度、攻撃者からの脅威、資産の重要度に基づいてリスクを正確に定量化するには、数百の要因を分析する必要があり、毎日変化します。したがって、自動化が必要です。
Tenable社のソリューションを活用して、リスクベースの脆弱性管理に取り組みましょう。

PDF版の資料ダウンロードはこちら

PAGE TOP