脆弱性管理とは

2022年8月24日

脆弱性管理とは

脆弱性管理は、ITリスク管理のサブドメインであり、組織のITインフラストラクチャーおよびソフトウェアにおけるセキュリティー上の脆弱性の継続的な発見、優先順位付け、および解決を行います。

セキュリティー脆弱性とは、ネットワークやネットワーク上の資産の構造、機能、実装に存在する不備や弱点のことで、ハッカーはこれらを悪用して、サイバー攻撃を行ったり、システムやデータに不正にアクセスしたり、組織に損害を与えたりする可能性があります。

一般的な脆弱性の例としては、特定の種類のマルウェアにネットワークへの侵入を許すようなファイアウォールの設定ミスや、ハッカーにデバイスの乗っ取りを許すようなオペレーティング・システムのリモート・デスクトップ・プロトコルのバグにパッチが適用されていない状態などがあります。

今日の企業ネットワークは非常に分散しており、毎日のように多数の新しい脆弱性が発見されています。そのため、効果的な脆弱性管理を手動で行ったり、その場しのぎで行ったりすることはほとんど不可能です。通常、サイバーセキュリティー・チームは、プロセスを自動化するために脆弱性管理ソリューションを利用しています。

Center for Internet Security(CIS)は、最も一般的なサイバー攻撃から防御するためのCritical Security Controlsの1つとして、継続的な脆弱性管理を挙げています。脆弱性管理により、ITセキュリティー・チームは、脆弱性が悪用される前に特定して解決することで、よりプロアクティブなセキュリティー体制を導入できるようになります。

ニュースレターを表示しているスマホの画面

The DX Leaders

「The DX Leaders」は日本語でお届けするニュースレターです。AI活用のグローバル・トレンドや日本の市場動向を踏まえたDX、生成AIの最新情報を毎月お届けします。

今すぐ登録

脆弱性管理プロセス

新たな脆弱性はいつ発生しても不思議ではないため、セキュリティー・チームは脆弱性管理を個別のイベントではなく、継続的なライフサイクルとしてアプローチしています。このライフサイクルは、発見、分類と優先順位付け、解決、再評価、レポートという5つの継続的かつ重複するワークフローで構成されています。

1. 発見

発見ワークフローの中心は脆弱性評価です。このプロセスでは、組織のすべてのIT資産に既知および潜在的な脆弱性がないかを検査します。通常、セキュリティー・チームは、脆弱性スキャナー・ソフトウェアを使用してこのプロセスを自動化します。脆弱性スキャナーの中には、定期的なスケジュールで包括的なネットワーク・スキャンを実行するものもあれば、ノートPC、ルーター、およびその他のエンドポイントにインストールされたエージェントを使用して各デバイス上のデータを収集するものもあります。また、セキュリティー・チームは、ペネトレーション・テストなどの一時的な脆弱性評価を使用して、スキャナーが見逃す可能性のある脆弱性を特定することもあります。

2. 分類と優先順位付け

脆弱性が特定されると、脆弱性はタイプ別(デバイスの設定ミス、暗号化の問題、機密データの漏洩など)に分類され、重要度レベルに応じて優先順位が付けられます。このプロセスでは、各脆弱性の重大度、悪用される可能性、攻撃につながる可能性を推定します。

脆弱性管理ソリューションでは通常、サイバーセキュリティー業界のオープン・スタンダードであるCommon Vulnerability Scoring System(CVSS)などの脅威インテリジェンス・ソースを利用して、既知の脆弱性の重要度を0から10のスケールで評価します。その他の人気のあるインテリジェント・ソースとしては、MITREのCommon Vulnerabilities and Exposures(CVE)のリストとNISTのNational Vulnerability Database(NVD)の2つがあります。

3. 解決

脆弱性に優先順位が付けられると、セキュリティー・チームは、以下の3つの方法のいずれかでそれらの脆弱性を解決できます。

  • 修復:ソフトウェアのバグを修正するパッチをインストールしたり、脆弱性のある資産を廃棄するなどして、脆弱性を悪用できないように完全に対処します。多くの脆弱性管理プラットフォームでは、パッチの自動ダウンロードとテストのためのパッチ管理や、一元化されたダッシュボードやポータルからネットワークとデバイスの設定ミスに対処するための構成管理など、修復ツールが用意されています。
  • 軽減:脆弱性を完全に排除することなく、脆弱性の悪用を難しくしたり、悪用された場合の影響を軽減したりします。脆弱性のあるデバイスをオンラインにしたまま、他のネットワークからセグメント化することは、軽減の一例です。多くの場合、パッチやその他の修復手段が提供されていない場合に、軽減が実行されます。
  • 受容:脆弱性に対処せずに残しておきます。重要度スコアが低い(悪用される可能性が低い、または重大な損害を引き起こす可能性が低い)脆弱性は、受容されることが多くあります。

4. 再評価

脆弱性が解決されると、セキュリティー・チームは新たに脆弱性評価を行い、脆弱性の軽減や修復の取り組みが機能していること、およびその取り組みが新しい脆弱性を引き起こしていないことを確認します。

5. レポート

脆弱性管理プラットフォームでは、通常、平均検出時間(MTTD)や平均応答時間(MTTR)などのメトリクスについてレポートするためのダッシュボードが用意されています。多くのソリューションでは、特定された脆弱性のデータベースを保持してもいます。これによりセキュリティー・チームは、特定された脆弱性の解決を追跡したり、過去の脆弱性管理の取り組みを監査したりすることができます。

これらのレポート機能により、セキュリティー・チームは、継続的な脆弱性管理活動のためのベースラインを確立し、プログラムのパフォーマンスを長期にわたって監視できます。また、レポートを使用して、セキュリティー・チームと、資産の管理を担当しているが脆弱性管理プロセスに直接関与していない他のITチームとの間で情報を共有することもできます。

オフィスでミーティングをするビジネスチーム

IBMお客様事例

お客様のビジネス課題(顧客満足度の向上、営業力強化、コスト削減、業務改善、セキュリティー強化、システム運用管理の改善、グローバル展開、社会貢献など)を解決した多岐にわたる事例のご紹介です。

事例を見る

リスクベースの脆弱性管理とは

リスクベースの脆弱性管理(RBVM)は、脆弱性への比較的新しいアプローチです。RVBMは、利害関係者固有の脆弱性データを人工知能および機械学習機能と組み合わせることで、脆弱性管理を3つの重要な方法で強化します。

より多くのコンテキストでより効果的な優先順位付け。従来の脆弱性管理ソリューションでは、CVSSやNIST NVDなどの業界標準のリソースを使用して重要度を判断します。これらのリソースは、すべての組織で脆弱性の平均的な重要度を判断できる一般性を利用しています。しかし、利害関係者別の脆弱性データがないため、特定の企業での脆弱性の重要度の優先順位が過大または過小に評価される危険性があります。

例えば、どのようなセキュリティー・チームでも、ネットワーク上のすべての脆弱性に対処する時間やリソースはないため、多くの場合、CVSSスコアが「高」(7.0-8.9)または「重大」(9.0-10.0)の脆弱性を優先します。しかし、機密情報の保管や処理を行わない資産、あるいはネットワークの高価値セグメントへの経路を提供していない資産に「重大」な脆弱性が存在する場合、それらの修復に無駄な時間が使われる可能性があります。

CVSSスコアの低い脆弱性であっても、ある組織にとっては他の組織よりも脅威となることがあります。2014年に発見されたHeartbleedのバグは、CVSSスケールで「中」(5.0)と評価されていました。それにもかかわらず、ハッカーはこの脆弱性を利用して大規模な攻撃を実行し、米国最大級の病院チェーンの1つから450万人分の患者データを盗み出すなどの被害をもたらしました。

RBVMは、利害関係者固有の脆弱性データ(影響を受ける資産の数や重要度、資産が他の資産とどのように接続されているか、悪用された場合の損害の可能性など)や、サイバー犯罪者が現実世界でどのように脆弱性を利用しているかについてのデータを使用してスコアリングを補完しています。また、機械学習を使用して、各脆弱性が組織に及ぼすリスクをより正確に反映したリスク・スコアを策定します。これにより、ITセキュリティー・チームは、ネットワーク・セキュリティーを犠牲にすることなく、優先すべき重大な脆弱性の数を減らすことができます。

リアルタイムの発見。RBVMでは、多くの場合、脆弱性スキャンを定期的なスケジュールではなくリアルタイムで実施します。さらに、RBVMソリューションでは、より広範な資産を監視することができます。通常、従来型の脆弱性スキャナーの対象はネットワークに直接接続された既知の資産に限定されていますが、RBVMツールでは、オンプレミスやリモート・モバイル・デバイス、クラウド資産、サードパーティー・アプリケーション、その他のリソースをスキャンできます。

自動再評価。 RBVMプロセスでは、継続的な脆弱性スキャンによって自動的に再評価が行われる場合があります。従来型の脆弱性管理では、再評価を行うために意図的なネットワーク・スキャンやペネトレーション・テストが必要になることがあります。

脆弱性管理と攻撃対象領域管理

脆弱性管理は、攻撃対象領域管理(ASM)と密接に関連しています。ASMとは、組織の攻撃対象領域を構成する脆弱性と潜在的な攻撃ベクトルを継続的に発見、分析、修復、監視することです。ASMと脆弱性管理の主な違いは、その対象範囲です。どちらのプロセスも組織の資産の脆弱性を監視して解決しますが、ASMはネットワーク・セキュリティーに対してより包括的なアプローチを取ります。

ASMソリューションには、ネットワークに接続されているすべての既知の資産、未知の資産、サード・パーティーの資産、従属的な資産、悪意のある資産を識別および監視する資産検出機能が含まれています。また、ASMはIT資産のみにとどまらず、組織の物理的およびソーシャル・エンジニアリングの攻撃対象領域にある脆弱性も特定します。次に、ハッカーの視点からこれらの資産と脆弱性を分析し、サイバー犯罪者がネットワークに侵入するためにそれらをどのように利用するかを理解します。

リスクベースの脆弱性管理(RBVM)の増加に伴って、脆弱性管理とASMの境界線はますます曖昧になっています。ASMでは、脆弱性管理のみの場合よりも包括的に攻撃対象領域を把握できるため、組織は、RBVMソリューションの一部としてASMプラットフォームを導入することがよくあります。

参考情報

生成AIの時代のサイバーセキュリティー

生成AIをサイバーセキュリティで活用する際の課題を切り抜け、そのレジリエンスを活かす方法を学びましょう。

IBM® X-Force®クラウド脅威状況レポート2024年版

IBM X-Forceクラウド脅威状況レポートで、最新の脅威を把握しクラウド防御を強化しましょう。
データ・セキュリティーとは

データ・セキュリティーが、デジタル情報をそのライフサイクル全体を通して、不正アクセス、破損、盗難から保護する方法をご覧ください。
サイバー攻撃とは何ですか?

サイバー攻撃とは、不正アクセスを通じて、データ、アプリケーション、またはその他の資産を盗む、暴露、変更、無効化、または破壊するための意図的な取り組みです。
IBM X-Force Threat Intelligence Index 2024

IBM X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
セキュリティー・インテリジェンスに関するブログ

セキュリティーに関する最新のトレンドやニュースをお届けします。
関連ソリューション
エンタープライズ・セキュリティー・ソリューション

世界有数の企業向けセキュリティー・プロバイダーが提供するソリューションで、セキュリティー・プログラムを変革します。

 サイバーセキュリティー・ソリューションの詳細
サイバーセキュリティー・コンサルティング・サービス

サイバーセキュリティー・コンサルティングやクラウド、マネージド・セキュリティー・サービスでビジネスを変革し、リスクを管理しましょう。

         サイバーセキュリティー・サービスはこちら
    サイバーセキュリティーのための人工知能(AI)| IBM

    AIを活用したサイバーセキュリティー・ソリューションで、セキュリティー・チームの俊敏性、精度、生産性を向上させます。

         AIを活用したサイバーセキュリティーの詳細はこちら
    次のステップ

    データ・セキュリティー、エンドポイント管理、IDおよびアクセス管理(IAM)ソリューションのいずれが必要であっても、IBMのエキスパートはお客様と協力して、高度なセキュリティー体制を実現します。サイバーセキュリティー・コンサルティング、クラウド・セキュリティー・サービス、マネージド・セキュリティー・サービスなど、業界の世界的リーダーとして、事業の変革とリスク管理を支援します。

         サイバーセキュリティー・ソリューションの詳細 サイバーセキュリティー・サービスを発見する