脆弱性管理ライフサイクルは、企業のIT資産の脆弱性を発見、優先順位付け、対処するための継続的なプロセスです。
毎月、米国国立標準技術研究所(NIST)は、国家脆弱性データベースに2,000件を超える新しいセキュリティー脆弱性を追加しています。セキュリティー・チームは、これらすべての脆弱性を追跡する必要はありませんが、システムに潜在的な脅威をもたらす脆弱性を特定して解決する方法が必要です。脆弱性管理ライフサイクルはそのためにあります。
ライフサイクルの一般的なラウンドには、次の5つの段階があります。
脆弱性管理ライフサイクルにより、組織は脆弱性管理に対してより戦略的なアプローチをとって、セキュリティー体制を強化することができます。セキュリティー・チームは、新たな脆弱性が出現したときに対応するのではなく、システム内の欠陥を積極的に探します。組織は、最も重大な脆弱性を特定し、脅威アクターの攻撃前に保護を導入できます。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
脆弱性とは、ハッカーが悪用して企業に損害を与えることができる、ネットワークまたは資産の構造、機能、または実装におけるセキュリティーの弱点です。
脆弱性は、資産の構造の根本的な欠陥から生じる可能性があります。悪名高いLog4Jの脆弱性もその一例で、一般的なJavaライブラリのコーディングエラーにより、ハッカーが被害者のコンピューター上でリモートからマルウェアを実行できる状態になりました。その他の脆弱性は、機密データをパブリック・インターネットに公開するクラウド・ストレージ・バケットの設定ミスなど、人為的ミスによって引き起こされます。
あらゆる脆弱性は組織にとってリスクです。IBMのX-Force Threat Intelligence Indexによると、アプリの脆弱性を悪用する攻撃は、最も一般的なサイバー攻撃ベクトルの1つです。
ハッカーにとって自由に使える脆弱性の蓄積が、増加しています。これに応じて、企業は脆弱性管理をサイバーリスク管理ストラテジーの重要な構成要素としています。脆弱性管理ライフサイクルは、刻々と変化を続けるサイバー脅威の状況における効果的な脆弱性管理プログラムの正式なモデルを提供します。ライフサイクルを導入することで、組織は次のようなメリットを享受できます。
新しい脆弱性はいつネットワーク内で発生しても不思議ではないため、脆弱性管理ライフサイクルは連続する個別のイベントではなく、継続的なループになっています。ライフサイクルの各ラウンドは、次のラウンドに直接反映されます。通常、1つのラウンドには次の段階が含まれます。
技術的には、計画と事前作業は脆弱性管理ライフサイクルの前に行われるため、「ステージ 0」が指定されています。この段階で組織は脆弱性管理プロセスの重要な詳細を検討し、それには次のものが含まれます。
組織は、ライフサイクルのすべてのラウンドの前にこの段階を経るわけではありません。企業は通常、正式な脆弱性管理プログラムを開始する前に、広範な計画と事前作業のフェーズを実施します。プログラムが実施されると、利害関係者は定期的に計画と事前作業を再検討し、必要に応じて全体的なガイドラインとストラテジーを更新します。
正式な脆弱性管理ライフサイクルは、資産インベントリー(組織のネットワーク上のすべてのハードウェアとソフトウェアのカタログ)から始まります。インベントリーには、正式に認可されたアプリとエンドポイント、および従業員が承認なしに使用するシャドー IT資産が含まれます。
企業のネットワークには新しい資産が定期的に追加されるため、ライフサイクルごとに資産インベントリーが更新されます。企業はインベントリーを自動化するために、攻撃対象領域管理プラットフォームなどのソフトウェア・ツールをよく使用します。
資産を特定した後、セキュリティー・チームはその脆弱性を評価します。チームは、自動化された脆弱性スキャナー、手動のペネトレーション・テスト、サイバーセキュリティー・コミュニティーからの外部脅威インテリジェンスなど、さまざまなツールと方法を組み合わせて使用できます。
ライフサイクルのすべてのラウンドですべての資産を評価するのは負担が大きいため、通常、セキュリティー・チームはバッチで作業します。ライフサイクルの各ラウンドでは特定の資産グループに焦点を当て、より重要な資産グループはより頻繁にスキャンを受けます。一部の高度な脆弱性スキャン・ツールでは、すべてのネットワーク資産をリアルタイムで継続的に評価するため、セキュリティー・チームは脆弱性の発見に対してさらに動的なアプローチを取ることができます。
セキュリティー・チームは、評価段階で見つかった脆弱性に優先順位を付けます。優先順位付けにより、チームは最も重要な脆弱性に最初に対処できるようになります。この段階は、チームが低リスクの脆弱性に時間とリソースを費やすのを回避するのにも役立ちます。
脆弱性に優先順位を付けるために、チームは次の基準を考慮します。
セキュリティー・チームは、最も重大なものから最も重大でないものまで、優先順位を付けられた脆弱性のリストを使用して作業します。組織が脆弱性に対処するには、次の3つのオプションがあります。
軽減と修復の取り組みが意図したとおりに機能したことを検証するため、セキュリティー・チームは、作業したばかりの資産を再スキャンして再テストします。これらの監査の主な目的は2つあります。セキュリティー・チームが既知の脆弱性すべてに正常に対処できたかどうかを判断することと、緩和や修復によって新たな問題が発生していないことを確認することです。
この再評価段階の一環として、セキュリティー・チームはネットワークをより広範囲に監視します。チームは、直近のスキャン以降の新たな脆弱性、時代遅れになった古い軽減策、または対応が必要となるその他の変更を探します。これらすべての調査結果は、ライフサイクルの次のラウンドで役立ちます。
セキュリティー・チームは、発見された脆弱性、実行された解決手順、結果など、ライフサイクルの最新ラウンドでの活動を文書化します。これらのレポートは、経営陣、資産所有者、コンプライアンス部門などを含む、関連する利害関係者と共有されます。
またセキュリティー・チームは、ライフサイクルの最新ラウンドがどのように進んだたかについても振り返ります。チームは、平均検出時間(MTTD)や平均解決時間(MTTR)、重大な脆弱性の総数、脆弱性の再発率などの主要なメトリクスを調査する場合があります。これらのメトリクスを長期にわたって追跡することで、セキュリティー・チームは脆弱性管理プログラムのパフォーマンスのベースラインを確立し、長期にわたってプログラムを改善する機会を特定できます。ライフサイクルの1つのラウンドから学んだ教訓は、次のラウンドをより効果的なものにすることができます。