リスクベースの脆弱性管理とは

リスクベースの脆弱性管理とは、組織に最大のリスクをもたらす脆弱性を特定し、修復することを目的としたサイバーセキュリティプロセスです。

エンドポイントが飛躍的に増加し、IT環境内の複雑さが増していることから、この機能に対する需要が近年高まっています。これらの問題に、クラウドへの移行やその他の変革への取り組みといった事業上の優先事項が重なり、多くのITチームが労力の限界に達したことで、活動に優先順位を付け、限られたリソースを最適化する必要が生じています。リスクベースの脆弱性管理は、悪用され、事業に悪影響を及ぼす可能性が最も高い脆弱性を特定して修復するために、そのようなチームが利用できる方法の1つです。

リスクベースの脆弱性管理と脆弱性管理の違い

リスクベースの脆弱性管理と従来の脆弱性管理の違いを理解するためには、まず、次の定義を明確にすることが重要です。

脆弱性とは、国際標準化機構による定義では「1つ以上の脅威によって悪用される可能性があるアセットまたはアセットのグループの弱点」です。

脅威は、脆弱性を悪用できるものです。

リスクとは、脅威が脆弱性を悪用したときに発生する事象です。

リスクベースの脆弱性管理ツールと従来の脆弱性管理ツールはいずれも、環境内のリスクを特定できます。ただし、組織にとって最も差し迫った、重大なリスクに優先順位を付ける際には、リスクベースの脆弱性管理のほうがはるかに効果的です。リスクベースの脆弱性管理の主要な要素には、次のものがあります。

• 統合された脅威インテリジェンス：脅威アクターの動機、標的、攻撃行動をより詳細に理解するために、データが収集、処理、分析されます。
• 包括的なリスクスコア：リスクは、アセットの重要性、リスクの重大度、攻撃の確率、ビジネスやその他の重要な要素への影響に基づいて評価、計算されます。
• 自動化：人工知能 (AI)、機械学習 (ML)、およびその他のインテリジェントな自動化アプリケーションによって、リスク評価プロセス内のタスクを自動化し、業務のむだを省いて、リソースを最適化します。

リスクベースの脆弱性管理の利点

リスクベースの脆弱性管理を利用する組織は、次のような多数の利点を得られます。

• 精度の向上：脅威インテリジェンスおよび脅威ハンティング機能を使用することで、脅威アクターとの闘いにおいて、より多くの情報に基づき、データに裏付けられたセキュリティに関する意思決定をより迅速に行えるようになります。これにより先手を打った対応が可能になり、ITチームは環境内で最も重大な脆弱性に時間とリソースを集中させることができます。
• 可視性の範囲の拡大：リスクベースの脆弱性管理では、攻撃対象領域全体のすべてのアセットの可視性が保証されます。これには、従来のツールではサポートされないことの多い、モバイルデバイスやクラウドベースのアプリケーションといった最新アセットも含まれます。
• 継続的な保護：最新のリスクベースの脆弱性管理ツールでは、脆弱性データの静的スナップショットを取って、古い結果を提供するのではなく、環境を継続的にスキャンしてモニタリングします。このため組織は、進化する脆弱性も検出することができます。
• 効率の向上：リスクベースの脆弱性管理では、高度なテクノロジーを使用して評価プロセスのさまざまな部分を自動化します。この機能によっても、ITチームは定型業務を効率化して、価値の高い業務に専念できるようになります。

サイバーセキュリティのリスクが発生したときに優先順位付けする方法

ほとんどの組織では環境内に無数の脆弱性が生じていますが、そのうち組織に重大なリスクをもたらすものはごく一部です。ここでは、脆弱性に優先順位を付ける際の4つの主な考慮事項を紹介します。

1. 許容可能なリスクレベルはどの程度か。会社として許容できるリスクレベルを決定するしきい値を設定する必要があります。このしきい値は、事態の修復に必要なリソース、攻撃発生時に生じる可能性があるダウンタイム、修復作業のコスト、評判の毀損の影響、機密データや知的財産 (IP) の損失可能性に基づいて定義する必要があります。
2. リスクの発生確率はどの程度か。リスクベースの脆弱性管理システムでは、現在の攻撃エクスプロイトと過去のデータおよび分析と予測モデリングを利用して、各脆弱性について攻撃が発生する確率を判別します。この分析を効果的に行えるのは、組織が脅威コンテキストと脆弱性データを継続的に収集している場合に限られることに注意する必要があります。
3. リスクの重大度はどの程度か。リスクの重大度は、経済的コストにその発生確率を掛けることで算出されます。これにより、脅威の大きさが明確に示されます。
4. リスクはどの程度差し迫っているか。攻撃者はいつでも攻撃を仕掛けてくる可能性があります。ただし、リスクベースの脆弱性管理ツールを利用すれば、攻撃がどのくらい差し迫ったものかを理解できます。またこれは、組織の対応に影響を与える可能性がある、スタッフの対応可能性、顧客からの需要、または1年の中の時期といったその他のビジネスの状況をチームで考慮する際にも役立ちます。

リスク評価のスコアリング手法の仕組み

リスクに優先順位を付けるには、インテリジェントなリスクスコアリングが必要です。共通脆弱性評価システム (CVSS) は、無料のオープンな業界標準です。クラウドストライクとその他多数のサイバーセキュリティ組織が、ソフトウェアの脆弱性を評価し、脆弱性の重大度、緊急度、発生確率を計算するために使用しています。CVSSスコアの範囲は0.0～10.0です。

さらに、National Vulnerability Database (NVD) によってCVSSスコアに重大度のレーティングが適用されます。NVDの情報は、MITRE CorporationとそのサイバーセキュリティフレームワークであるMITRE ATT&CKフレームワークから取得されています。このフレームワークによって攻撃者グループと作戦行動が関連付けられるため、セキュリティチームは、対処している攻撃者をより詳しく理解し、防御策を評価し、セキュリティが最も重要な部分のセキュリティを強化することができます。

効果的なリスクベースの脆弱性管理プログラムの作成方法

市場にはさまざまな脆弱性管理ソリューションが溢れ、いずれも業界をリードする品質であることを謳っています。リスクベースの脆弱性管理プログラムの作成で成功を収めるなら、以下の点を考慮することが重要です。

リアルタイムの可視化：

• 適切なタイミングでセキュリティの脆弱性を検出できるか。
• 組織のIT環境内のすべてのエンドポイントとアセットのエンドツーエンドの可視性が提供されるか。
• スキャンレステクノロジーを備え、リアルタイムにデータを表示して対話形式で操作できるか。
• ネットワーク接続の有無にかかわらず、エンドポイントを保護できるか。

エンドポイントのパフォーマンス：

• リスクベースの脆弱性管理ツールは、エンドポイントのパフォーマンスにほとんど影響を与えることなく展開および更新できる軽量のソリューションであるか。

自動化：

• ソリューションで利用しているAI、ML、インテリジェントな自動化は最新のもので、サイバーリスク評価が効率化されて、ITチーム内の貴重なリソースが解放されるか。

統合：

• ソリューションは、組織の既存のサイバーセキュリティアーキテクチャとソリューション内にどれだけ効果的に統合されているか。
• パッチの適用と脆弱性の修復作業を効率よく進められるよう、ベンダーから組み込みの統合機能が提供されているか。
• システムを他のツールやテクノロジーと適切に統合できるよう、ベンダーからどのようなサポートが提供されているか。