検索
特集

多すぎる脆弱性パッチを最適化してセキュリティ工数を削減する方法

“もぐらたたき”のような脆弱性パッチサイクルは、セキュリティ担当者の大きな負担になっている。CISAは2022年11月、当て推量や手作業による意思決定プロセスを排除するセキュリティガイドを公開した。

PC用表示 関連情報
Share
Tweet
LINE
Hatena
Cybersecurity Dive

 脆弱(ぜいじゃく)性管理は多くの組織にとって“もぐらたたき”のようなものだが、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)がそれを変えようとしている。

 CISAは2022年11月、脆弱性の分類ガイドを発表し、継続的な改善のために注目すべき3つの分野を概説した(注1)。

脆弱性対応を最適化するための3つの方法

 サイバーセキュリティの専門家にとって、脆弱性パッチサイクルは大きな負担になっている。自社のビジネスやリスクプロファイルにとって重要な脆弱性を特定してパッチを適用することに苦労している。

 CISAのサイバーセキュリティ担当エグゼクティブアシスタントディレクターであるエリック・ゴールドスタイン氏は、脆弱性管理を改善するためには「セキュリティの共通アドバイザリ『Common Security Advisory Framework』(CSAF)に沿った自動化の強化」「脆弱性の影響を示す『Vulnerability Exploitability eXchange』(VEX)の普及」「リソースの優先順位付け」の3つが必要だとブログで述べている(注2)。

 CISAは、脆弱性データの機械による読み取りを推進している。企業は(脆弱性対策の)緩和措置やパッチ処理を自動化し、それぞれのリスクプロファイルに沿ったリソースを配備できるようになる可能性がある。

 「CSAFでセキュリティアドバイザリを公開することによって、企業が組織への脆弱性の影響を理解し、タイムリーな是正に必要な時間を劇的に短縮できる」とゴールドスタイン氏はブログで述べている。

 また、どの製品が脆弱性の影響を受けるか、脆弱性が悪用可能かどうかを示すVEXのアドバイザリを通じて影響範囲を明らかにできる。「VEXの最終的な目標は、情報開示、脆弱性の追跡、対処を含む脆弱性エコシステム全体の自動化をサポートすることだ」とゴールドスタイン氏は述べている。

 企業は、悪用状況やその他の関連情報に基づき、脆弱性管理活動の優先順位を決定できる。CISAは、脆弱性を認識するとスコアを割り当て、その脆弱性に対して「追跡」「追跡(変更をより詳細に監視)」や「監視」「対処」の4つのうち1つをタグ付けする。

 CISAは、脆弱性が悪用される可能性と任務や福利厚生に与える潜在的な影響について、計算方法と判断ツリーを公開することで企業の指針としている(注3)。

サイバーセキュリティの専門家はCISAの脆弱性アプローチを支持

 アナリストや脅威研究者は、CISAの脆弱性分類の取り組みは、企業が自社のリスクをさらに理解するために必要なステップだと見ている。また、この分類は敵対者が実用的な脆弱性を作り出す前に、企業が最も緊急性の高い脆弱性にパッチを当て、修正する機会を提供することにもなる。

 セキュリティ関連のソフトおよびハードウェアを開発するSophosの脅威研究担当シニアマネジャー、クリストファー・バッド氏は、電子メールでこう述べている。「サイバーセキュリティの専門家は現在、脆弱性パッチサイクルの中で、あまりにも多くの製品の、あまりにも多くの脆弱性に関する、あまりにも多くの異なるソースからの、あまりにも多くの情報に悩まされている」。

 CISAの脆弱性管理の進歩はプロセスをより標準化し、機械知能を使った情報の処理・分析によって効率を高めるとバッド氏は述べている。

 サイバーセキュリティアドバイザリ企業Coalfireのテクノロジーおよびエンタープライズアカウント担当バイスプレジデントであるアンドリュー・バラット氏は、「決定木」(decision tree)は、企業が脆弱性を分類し、対処の優先順位を付けるのに役立つと述べている。また、攻撃の連鎖の一部として、複数の脆弱性の影響を考慮することも可能になる。

 「脅威の性質は非常に動的であるため、このデータをリアルタイムで更新し、意思決定の結果を調整できるようにすることが重要だ。昨日までそうだと思っていたことが、明日はそうではないかもしれない」とバラット氏は電子メールで語った。

 セキュリティ対策のためのSaaSデータ分析プラットフォームを提供するNetenrichのプリンシパルスレットハンターであるジョン・バンベネック氏は、「脆弱性管理は手作業が多いが、共通のフレームワークにより、コミュニケーションと自動化が可能になり、対応までの時間が短縮される」と電子メールで述べた。

© Industry Dive. All rights reserved.

ページトップに戻る