ホーム topics 脆弱性管理とは 脆弱性管理とは
セキュリティー・チームがIT資産のセキュリティー脆弱性をプロアクティブに発見し、優先順位を付け、解決するのに、脆弱性管理ソリューションがどのように役立つかを説明します。
共有デスクに座っている2人の従業員が、2人ともコンピューターの画面を見ている
脆弱性管理とは

脆弱性管理は、ITリスク管理のサブドメインであり、組織のITインフラストラクチャーおよびソフトウェアにおけるセキュリティー脆弱性の継続的な発見、優先順位付け、および解決を行います。

セキュリティー脆弱性とは、ネットワークやネットワーク上の資産の構造、機能、実装に存在する、ハッカーがサイバー攻撃を行ったり、システムやデータに不正にアクセスしたり、組織に損害を与えたりするために悪用できる不備や弱点のことです。 一般的な脆弱性の例としては、特定の種類のマルウェアにネットワークへの侵入を許すようなファイアウォールの構成ミスや、ハッカーがデバイスを乗っ取ることができるようなオペレーティング・システムのリモート・デスクトップ・プロトコルのバグにパッチが適用されていないような状態などがあります。

今日の企業ネットワークは非常に分散しており、毎日のように多数の新しい脆弱性が発見されているため、効果的な脆弱性管理を手動で行ったり、その場しのぎで行ったりすることはほとんど不可能です。 通常、サイバーセキュリティー・チームは、プロセスを自動化するために脆弱性管理ソリューションを利用しています。

Center for Internet Security(CIS)は、最も一般的なサイバー攻撃から防御するためのCritical Security Controls(リンク先は ibm.com の外部にあります)の1つとして、継続的な脆弱性管理を挙げています。 脆弱性管理により、ITセキュリティー・チームは、脆弱性が悪用される前に特定して解決することで、よりプロアクティブなセキュリティー体制を導入できるようになります。 

脆弱性管理プロセス

新たな脆弱性はいつ発生してもおかしくないため、セキュリティー・チームは脆弱性管理を個別のイベントではなく、継続的なライフサイクルとしてアプローチしています。 このライフサイクルは、発見、分類と優先順位付け、解決、再評価、レポート作成という5つのワークフローで構成されています。

1. 発見

発見ワークフローの中心は脆弱性評価です。このプロセスでは、組織のすべてのIT資産に既知および潜在的な脆弱性がないかを検査します。 通常、セキュリティー・チームは、脆弱性スキャナー・ソフトウェアを使用してこのプロセスを自動化します。 脆弱性スキャナーの中には、定期的なスケジュールで包括的なネットワーク・スキャンを実行するものもあれば、ノートPC、ルーター、およびその他のエンドポイントにインストールされたエージェントを使用して各デバイス上のデータを収集するものもあります。 また、セキュリティー・チームは、ペネトレーション・テストなどの一時的な脆弱性評価を使用して、スキャナーが見逃す可能性のある脆弱性を見つけることもあります。  

2. 分類と優先順位付け

脆弱性が特定されると、脆弱性はタイプ別(デバイスの設定ミス、暗号化の問題、機密データの漏えいなど)に分類され、重要度レベルに応じて優先順位が付けられます。重要度レベルは、各脆弱性の重大度、悪用される可能性、攻撃につながる可能性を推定したものです。

重要度を判断するために、脆弱性管理ソリューションでは通常、既知の脆弱性の重要度を0から10のスケールで評価するサイバーセキュリティー業界のオープン・スタンダードであるCommon Vulnerability Scoring System(CVSS)、MITREのCommon Vulnerabilities and Exposures(CVEs)のリスト、NISTのNational Vulnerability Database(NVD)などの脅威インテリジェンスを利用します。 

3. 解決

脆弱性に優先順位が付けられると、セキュリティー・チームは、以下の3つの方法のいずれかでそれらの脆弱性を解決できます。

  • 修復—ソフトウェアのバグを修正するパッチをインストールしたり、脆弱性のある資産を廃棄するなどして、脆弱性を悪用できないように完全に対処します。 多くの脆弱性管理プラットフォームでは、パッチの自動ダウンロードとテストのためのパッチ管理や、一元化されたダッシュボードやポータルからネットワークとデバイスの構成ミスに対処するための構成管理など、修復ツールが用意されています。
  • 軽減—脆弱性を完全に排除することなく、脆弱性の悪用を難しくしたり、悪用された場合の影響を軽減します。 脆弱性のあるデバイスをオンラインにしたまま他のネットワークからセグメント化することは、軽減の一例です。 多くの場合、パッチやその他の修復手段が提供されていない場合に、軽減が実行されます。 
  • 受け入れ—脆弱性に対処せずに残しておきます。 重要度スコアが低い(悪用される可能性が低い、または重大な損害を引き起こす可能性が低い)脆弱性は、受け入れられることが多くあります。 

4. 再評価

脆弱性が解決されると、通常、セキュリティー・チームは新たに脆弱性評価を行い、脆弱性の軽減や修復の取り組みが機能していること、および新しい脆弱性を引き起こしていないことを確認します。

5. レポート作成

脆弱性管理プラットフォームでは、通常、平均検出時間(MTTD)や平均応答時間(MTTR)などの指標についてレポートするためのダッシュボードが用意されています。 また、多くのソリューションでは、特定された脆弱性のデータベースを保持しています。これにより、セキュリティー・チームは、特定された脆弱性の解決を追跡したり、過去の脆弱性管理の取り組みを監査したりすることができます。

これらのレポート機能により、セキュリティー・チームは、継続的な脆弱性管理活動のためのベースラインを確立し、プログラムのパフォーマンスを長期にわたって監視できます。 また、レポートを使用して、セキュリティー・チームと、資産の管理を担当しているが脆弱性管理プロセスに直接関与していない他のITチームとの間で情報を共有することもできます。 

リスク・ベースの脆弱性管理とは

リスク・ベースの脆弱性管理(RBVM)は、脆弱性への比較的新しいアプローチです。 RVBMは、利害関係者固有の脆弱性データを人工知能および機械学習機能と組み合わせることで、3つの重要な方法で脆弱性管理を強化します。

より多くのコンテキストでより効果的な優先順位付けを実現。 前述のように、従来の脆弱性管理ソリューションでは、CVSSやNIST NVDなどの業界標準のリソースを使用して重要度を判断します。 これらのリソースは、すべての組織で脆弱性の平均的な重要度を判断できる一般性に依存しています。 しかし、これらのリソースでは利害関係者別の脆弱性データがないため、特定の企業での脆弱性の重要度の優先順位が過大評価または過小評価される危険性があります。

例えば、どのようなセキュリティー・チームでも、ネットワーク上のすべての脆弱性に対処する時間やリソースはないため、多くの場合、CVSSスコアが「高」(7.0-8.9)または「重大」(9.0-10.0)の脆弱性を優先します。 しかし、機密情報の保管や処理を行わない資産、あるいはネットワークの高価値セグメントへの経路を提供していない資産に「重大」な脆弱性が存在する場合に、それらの修復にセキュリティー・チームの貴重な時間が無駄に配分される可能性があります。 一方、CVSSスコアの低い脆弱性であっても、ある組織にとっては他の組織よりも脅威となることがあります。 2014年に発見されたHeartbleedのバグは、CVSSスケールで「中」(5.0)と評価(リンクはibm.comの外部にあります)されていましたが、ハッカーはこのバグを利用して、米国最大の病院チェーンの1つから450万人の患者のデータを盗む(リンクはibm.comの外部にあります)などの大規模な攻撃を成功させました。

RBVMは、利害関係者固有の脆弱性データ(影響を受ける資産の数や重要度、資産が他の資産とどのように接続されているか、悪用された場合の損害の可能性など)と、サイバー犯罪者が現実世界でどのように脆弱性を利用しているかについてのデータによってスコアリングを補完しています。 また、機械学習を使用して、各脆弱性が組織に及ぼすリスクをより正確に反映したリスク・スコアを策定します。 これにより、ITセキュリティー・チームは、ネットワーク・セキュリティーを犠牲にすることなく、優先すべき重大な脆弱性の数を減らすことができます。

リアルタイム発見。 RBVMでは、多くの場合、脆弱性スキャンを定期的なスケジュールではなくリアルタイムで実施します。 さらに、RBVMソリューションでは、より広範な資産を監視することができます。通常、従来型の脆弱性スキャナーの対象はネットワークに直接接続された既知の資産に限定されていますが、RBVMツールでは、オンプレミスやリモート・モバイル・デバイス、クラウド資産、サード・パーティー・アプリケーション、その他のリソースをスキャンできます。

自動再評価。 RBVMプロセスでは、継続的な脆弱性スキャンによって自動的に再評価が行われる場合があります。 従来型の脆弱性管理では、再評価を行うために意図的なネットワーク・スキャンやペネトレーション・テストが必要になることがあります。 

脆弱性管理と攻撃対象領域管理

脆弱性管理は、攻撃対象領域管理(ASM)と密接に関連しています。 ASMとは、組織の攻撃対象領域を構成する脆弱性と潜在的な攻撃ベクトルを継続的に発見、分析、修復、監視することです。 ASMと脆弱性管理の主な違いは、その対象範囲です。 どちらのプロセスも組織の資産の脆弱性を監視および解決しますが、ASMはネットワーク・セキュリティーに対してより包括的なアプローチを取ります。 

ASMソリューションには、ネットワークに接続されているすべての既知の資産、未知の資産、サード・パーティーの資産、従属的な資産、悪意のある資産を識別および監視する資産検出機能が含まれます。 また、ASMはIT資産のみにとどまらず、組織の物理的およびソーシャル・エンジニアリングの攻撃対象領域にある脆弱性も特定します。 次に、ハッカーの視点からこれらの資産と脆弱性を分析し、サイバー犯罪者がネットワークに侵入するためにそれらをどのように利用できるかを理解します。

リスク・ベースの脆弱性管理(RBVM)の台頭に伴って、脆弱性管理とASMの境界線はますます曖昧になっています。 ASMでは、脆弱性管理のみの場合よりも包括的に攻撃対象領域を把握できるため、組織は、多くの場合にRBVMソリューションの一部としてASMプラットフォームを導入しています。

関連ソリューション
X-Force Redの脆弱性管理サービス

最も重要な資産をリスクにさらす可能性のある欠陥を特定し、優先順位を付け、修復を管理する脆弱性管理プログラムを採用します。

X-Force Redのサービスの詳細はこちら
脅威ハンティング・ソリューション

最も重要な資産をリスクにさらす可能性のある欠陥を特定し、優先順位を付け、修復を管理する脆弱性管理プログラムを採用します。

IBM QRadarによる脅威ハンティングの詳細はこちら
ガバナンス、リスク、およびコンプライアンス

ガバナンス、リスク、コンプライアンスを統合したアプローチにより、ITリスクの管理、ガバナンス構造の確立、サイバー・セキュリティーの成熟度の向上を実現します。

ガバナンス、リスク、およびコンプライアンスのサービスの詳細はこちら
参考情報 攻撃対象領域管理(ASM)とは

攻撃対象領域管理は、組織がサイバー攻撃に対する脆弱性を発見、優先順位付け、評価、修復するのに役立ちます。

DevSecOpsとは

DevSecOpsは、ソフトウェア開発ライフサイクルのあらゆる段階で自動的にセキュリティーを強化します。

データ・セキュリティーとは

データ・セキュリティーの実践とテクノロジーは、不正アクセス、破損、盗難からデジタル情報を保護します。