脆弱性管理に役立つ7つのヒント
セキュリティチームにとって、組織のネットワーク内の脆弱性を管理することは往々にして終わりのない圧倒されるほど厳しい仕事です。しかし、自動化の助けを借り、適切に優先順位を付けることで、この作業をうまくやりくりすることができます。
セキュリティアナリストなら誰もが知っているように、企業ネットワーク内の脆弱性を管理することは終わりが見えない仕事です。Enterprise Management Associates(EMA)社の2017年の調査(英語)によると、ITアセットあたり平均10件の脆弱性が存在し、一般的な中堅企業が常に管理しなければならない脆弱性は平均約2万件に上ります。さらに、セキュリティチームの74%が、脆弱性管理の作業量に圧倒されていると報告されていることは驚くことではありません。
サイバーセキュリティのスキル不足(英語)の結果、多くのチームが激しいストレスと人員不足を経験しています。 どうすれば莫大な数の脆弱性を適切に管理できるのでしょうか? 残念ながら、すべての脆弱性を修正することは事実上不可能ですが、自動化と適切な優先順位付けによって、脆弱性を管理可能なレベルに保ち、組織にとって最大のリスクをもたらす脆弱性への対処が可能になります。エフセキュアのTuomas Miettinen (トゥオマス・ミエッティネン)に、脆弱性管理のヒントについて尋ねました。
1.ワークステーション・PCとサーバのソフトウェアが最新であることを確認する
ほとんどのコモディティ化したマルウェアは、ワークステーション, PCやサーバの脆弱性を悪用します。これらのソフトウェアに最新のパッチを適用することで、攻撃対象領域が縮小し特定の脆弱性が検出されなくなります。F-Secure Software Updaterに代表されるパッチ管理や他のソフトウェアをアップデートするツールを使用すると、このプロセスが自動化できるので、作業負荷を軽減することができます。
2.アセットを発見してマッピングする
存在するかどうかわからないアセットを保護することはできません。デバイス、サービス、オンプレミスとインターネット上のオープンポートなどのアセットを棚卸します。シャドーITアセットを見つけ、不要なオープンポートや古いターゲットを閉鎖します。ネットワークを構成するデバイス、サービス、アプリケーションは絶えず変化しているため、定期的な棚卸は不可欠ですが、F-Secure Radarのような脆弱性管理ツールを使用するとネットワーク内のすべてのシステムと開放されているポート (サービス) を識別でき、また容易に自動化できます。
3.定期的に脆弱性をスキャンする
脆弱性スキャンは、定期的に実施する必要があります。1度のスキャンは一時的なスナップショットですが、新たな脆弱性は毎日発見され報告されているため、現状を維持するためには頻繁にスキャンを実行することが求められます。また、スキャンすることで、以前発生した問題が、確実に修正されていることを確認するのにも役立ちます。 このプロセスもF-Secure Radarのような脆弱性管理ツールを利用することで自動化し、スケジュールすることができます。また、サードパーティのサービスプロバイダがホスティングするスキャンサービスがあることも覚えておいてください。
4.最初に最も重要な脆弱性に注力する
スキャンの実施で識別された脆弱性が膨大さで、ひるんでしまうこともありますが、常にビジネスクリティカルなアセットを優先してください。 徹底したアセットの棚卸の実行で、所有しているすべてのアセットを把握できるので、それらを分類して優先順位を付けます。ターゲットを単独で評価するのではなく、他のIT環境やインターネットに対する相互接続性を考慮してください。悪用された脆弱性が他の環境に及ぼす影響を考え、すべてのプラットフォームやサービスに渡る重大な脆弱性を修正します。
5.スキャン結果を文書化する
スキャン結果と、実行した変更履歴を記録します。過去に実施したことを後日確認する必要があるときに記録が役立ちます。この作業を支援するため、F-Secure Radarには、脆弱性の修正担当者を追跡するための履歴データとチケット情報が含まれています。
6.パッチ適用が不可能な脆弱性に対する計画を立てる
すべての脆弱性にパッチが適用されるわけではありません。パッチ適用が不可能なものについては、悪用の可能性を最小限に抑えるための計画を立ててください。これを受け入れ可能なレベルのリスクとしてマークし、セキュリティ責任者に報告してください。パッチが提供されない販売終了製品は脆弱なままなので、リプレースする必要があります。リスク分析を行うことは、脆弱なレガシーシステムのリプレースへの投資を正当化するのに役立ちます。
7.全てが当たり前と思わない
会社規模の大小はまったく関係ありません。会社の規模で標的にされるのではなく、脆弱性が存在し悪用される可能性があるから標的になるのです。攻撃者にはインターネットで脆弱性をスキャンする自動化ツールがあり、脆弱性を見つけると、攻撃の機会があるとみなしてそこに付け込みます。そして、会社の内部にある金銭的利益を得ることができる材料を探します。
定期的なインベントリースキャンを実行し、継続的に攻撃対象領域を評価するプログラムが、脆弱性の克服に役立ちます。F-Secure Radarは、インターネットディスカバリー、アセットディスカバリー、脆弱性ディスカバリーなどの脆弱性管理プロセスを、使いやすい1つのソリューションとして簡素化しています。 また、F-Secure Radarを使用して、データ処理のセキュリティを確保するための技術的対策を定期的にテストし、評価し、検証するプロセスを導入することで、GDPR要件を満たすことが可能になります。