多すぎる脆弱性パッチを最適化してセキュリティ工数を削減する方法
“もぐらたたき”のような脆弱性パッチサイクルは、セキュリティ担当者の大きな負担になっている。CISAは2022年11月、当て推量や手作業による意思決定プロセスを排除するセキュリティガイドを公開した。
脆弱(ぜいじゃく)性管理は多くの組織にとって“もぐらたたき”のようなものだが、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がそれを変えようとしている。
CISAは2022年11月、脆弱性の分類ガイドを発表し、継続的な改善のために注目すべき3つの分野を概説した(注1)。
脆弱性対応を最適化するための3つの方法
サイバーセキュリティの専門家にとって、脆弱性パッチサイクルは大きな負担になっている。自社のビジネスやリスクプロファイルにとって重要な脆弱性を特定してパッチを適用することに苦労している。
CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるエリック・ゴールドスタイン氏は、脆弱性管理を改善するためには「セキュリティの共通アドバイザリ『Common Security Advisory Framework』(CSAF)に沿った自動化の強化」「脆弱性の影響を示す『Vulnerability Exploitability eXchange』(VEX)の普及」「リソースの優先順位付け」の3つが必要だとブログで述べている(注2)。
CISAは、脆弱性データの機械による読み取りを推進している。企業は(脆弱性対策の)緩和措置やパッチ処理を自動化し、それぞれのリスクプロファイルに沿ったリソースを配備できるようになる可能性がある。
「CSAFでセキュリティアドバイザリを公開することによって、企業が組織への脆弱性の影響を理解し、タイムリーな是正に必要な時間を劇的に短縮できる」とゴールドスタイン氏はブログで述べている。
また、どの製品が脆弱性の影響を受けるか、脆弱性が悪用可能かどうかを示すVEXのアドバイザリを通じて影響範囲を明らかにできる。「VEXの最終的な目標は、情報開示、脆弱性の追跡、対処を含む脆弱性エコシステム全体の自動化をサポートすることだ」とゴールドスタイン氏は述べている。
企業は、悪用状況やその他の関連情報に基づき、脆弱性管理活動の優先順位を決定できる。CISAは、脆弱性を認識するとスコアを割り当て、その脆弱性に対して「追跡」「追跡(変更をより詳細に監視)」や「監視」「対処」の4つのうち1つをタグ付けする。
CISAは、脆弱性が悪用される可能性と任務や福利厚生に与える潜在的な影響について、計算方法と判断ツリーを公開することで企業の指針としている(注3)。
サイバーセキュリティの専門家はCISAの脆弱性アプローチを支持
アナリストや脅威研究者は、CISAの脆弱性分類の取り組みは、企業が自社のリスクをさらに理解するために必要なステップだと見ている。また、この分類は敵対者が実用的な脆弱性を作り出す前に、企業が最も緊急性の高い脆弱性にパッチを当て、修正する機会を提供することにもなる。
セキュリティ関連のソフトおよびハードウェアを開発するSophosの脅威研究担当シニアマネジャー、クリストファー・バッド氏は、電子メールでこう述べている。「サイバーセキュリティの専門家は現在、脆弱性パッチサイクルの中で、あまりにも多くの製品の、あまりにも多くの脆弱性に関する、あまりにも多くの異なるソースからの、あまりにも多くの情報に悩まされている」。
CISAの脆弱性管理の進歩はプロセスをより標準化し、機械知能を使った情報の処理・分析によって効率を高めるとバッド氏は述べている。
サイバーセキュリティアドバイザリ企業Coalfireのテクノロジーおよびエンタープライズアカウント担当バイスプレジデントであるアンドリュー・バラット氏は、「決定木」(decision tree)は、企業が脆弱性を分類し、対処の優先順位を付けるのに役立つと述べている。また、攻撃の連鎖の一部として、複数の脆弱性の影響を考慮することも可能になる。
「脅威の性質は非常に動的であるため、このデータをリアルタイムで更新し、意思決定の結果を調整できるようにすることが重要だ。昨日までそうだと思っていたことが、明日はそうではないかもしれない」とバラット氏は電子メールで語った。
セキュリティ対策のためのSaaSデータ分析プラットフォームを提供するNetenrichのプリンシパルスレットハンターであるジョン・バンベネック氏は、「脆弱性管理は手作業が多いが、共通のフレームワークにより、コミュニケーションと自動化が可能になり、対応までの時間が短縮される」と電子メールで述べた。
関連記事
「脆弱性の96%は無視できる」それってどういうこと?
工場やプラントなどの制御システム「OT」。ITとは一味ちがう、OTのセキュリティ対策のポイントを専門家が語った。
「比較表」で分かる37個のセキュリティ目標、コストと効果から優先順位を導く
米国政府はサイバーセキュリティを強化するために役立つ37個の目標を打ち出した。技術的なもの、戦略的なもの、費用がかかるもの、そうでないもの、さまざまだ。あなたの会社は目標を幾つ満たしているだろうか。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- 人気爆発のNotionと低迷のEvernote、ノートアプリのトレンド事情を読む
- 2023年もWindows 11は「様子見」、Microsoftの“賭け”が失敗した原因は?
- Salesforce、ゼロコピー統合を可能にする「Zero Copy Partner Network」を発表
- 市民10万人の情報ダダ漏れで知事が逆ギレ その裏にある真実とは?:635th Lap
- 今やITパスポートより人気の“あの資格” IT資格取得意向を調査
- Zoomの新コラボレーションプラットフォーム「Zoom Workplace」って何?
- TeamsとZoomのシェア事情、ビデオ会議の人気再燃……Web会議トレンドの裏側
- 発生する電車遅延、乗客からの問い合わせ殺到……東急電鉄の遅延トラブル対処にBoxが採用された理由
- アンドロイドと共に生きる未来 ― “マツコロイドの父”・石黒浩氏に聞く
- 「Microsoft 365」と「Google Workspace」の利用状況(2021年)/後編
編集部からのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。