脆弱性管理：セキュリティリスクを今すぐ把握

2031年までに企業に対するランサムウェア攻撃が2秒に1件発生するようになる見込みだ。^[1]悪意のあるサイバー攻撃者の脅威は企業や組織の至る所で発生する恐れがあり、すぐにネットワーク、データ、システムなどのリソースを保護し、残っている問題を早急に修復することが不可欠だ。

脆弱性管理はサイバーセキュリティ上、非常に重要である。企業はエクスプロイトされる可能性があるファイアウォールやIPS、WAF、サンドボックスなどのセキュリティ対策機器（以下、「セキュリティコントロール」という）上の不備やデジタル資産（以下、「アセット」という）をリスクを、体系的なアプローチによって識別できるようになり、プロアクティブな防御と対策を実施することができます。性管理とは？

本来、脆弱性管理プログラムは企業がアセット、アプリケーション、セキュリティコントロールにおける潜在的な弱点を特定、分類、対応に向けた優先順位付け、修復するものです。企業は脆弱性に対するパッチをすぐに適用する、あるいはパッチが提供されるまで適切なワークアラウンドを見つけて対処することで、サイバー攻撃者による侵害成功のリスクを大幅に軽減することができます。こうした作業を適切に行うために、サイバーセキュリティ部門は攻撃サーフェス、すなわちエクスプロイトが成功してしまう可能性がある既存のアセット（ハードウェアやアプリケーションなど）と未解決の脆弱性を把握しておく必要があります。それを可能にするのが脆弱性スキャンやペネトレーションテストです。脆弱性管理、脆弱性スキャン、ペネトレーションテストを混同

多くの人が脆弱性の「管理」、「スキャン」、「アセスメント」を混同しています。しかし脆弱性の「スキャン」と「分析」は、脆弱性管理プログラムの視点ではまったく異なる段階で実行されるものです。脆弱性管理は弱点の特定、分析、修復のための総合的なアプローチです。一方でスキャンは継続的、そして場合によっては自動的なツールに組み込まれた技術プロセスで、企業や組織のネットワーク、ハードウェア、ソフトウェア、アプリケーション、リソース、システム全体の潜在的なリスクエクスポージャを検出するために利用します。その後、スキャニング結果を利用して、ペネトレーションテストと呼ばれる詳細なエクスプロイトの実行や侵入してどこまで侵害できるかを手動で実施します。脆弱性スキャンとペネトレーションテストによって外部の脅威に対する企業や組織のエクスポージャの重要性と重大性を検証できます。脆弱性管理：手順

脆弱性管理には通常6つの手順が含まれています。

1) アセットディスカバリとインベントリ：最初にサイバーセキュリティ部門はネットワークに接続されたすべてのアセットを慎重に調査し、将来参照できるように詳細な情報を付与したインベントリを作成します。このインベントリを正しく作成するためには、各システムにどのハードウェア、ソフトウェア、アプリケーションがインストールされているのか、そして攻撃になりうる脆弱性を詳しく把握しておく必要があります。

2) 脆弱性スキャン：ディスカバリとインベントリ作成の後、サイバーセキュリティ部門は脆弱性スキャナーを使用してシステム内の潜在的な脆弱性を検出しそのすべてを把握します。その潜在的な脆弱性とは例えば、有害なサイバー攻撃者によるエクスプロイトが実行可能な設定ミスやパッチ適用漏れなどが考えられます。

3) リスクアセスメントとペネトレーションテスト：脆弱性スキャンの結果に基づき、サイバーセキュリティ部門はそれぞれに関連する危険性をさらに評価及び整理します。リスクアセスメントと手動でのペネトレーションテストによって、最も重大で優先すべき脆弱性が明らかになります。

4) 修復、テスト、検証：サイバーセキュリティ部門は実行可能なエクスプロイトの潜在的な深刻度に基づき、脆弱性の優先順位を決定します。優先順位が決定したら、その結果を修復を担当するITオペレーションチームと共有する時点で、ITオペレーションチームのパッチ管理プロセスを開始するトリガーになります。パッチ管理プログラムは、ソフトウェアパッチまたはコード変更を識別・取得・テスト・インストールするための専用ソフトウェアによって実行します。ITオペレーションチームがパッチを適用した後、その有効性を確認するため、サイバーセキュリティ部門がテストと検証をもう一度行います。ITオペレーションチームによるパッチ適用が例外的に遅れた場合、サイバーセキュリティ部門はワークアラウンドや仮想パッチの適用などによって、その例外的な適用遅れのリスクを相殺しなければなりません。そのためには追加のセキュリティツールの入手や、既存のツール、セキュリティコントロールの設定変更によるリスク軽減が必要になることもよくあります。

5) タイムリーな報告：サイバーセキュリティ部門は企業や組織のリスク状況について適宜、責任者や場合によっては経営陣に報告しなければなりません。脆弱性修復のためのあらゆるセキュリティ改善やワークアラウンド実施は、すべて報告が必要です。

6) 監視：企業や組織はITインフラストラクチャを常に監視して潜在的な脅威や脆弱性がないことを確認することで、緊張感を持ってネットワークの継続的な安全性を確保しなければなりません。脆弱性管理では疑わしいアクティビティを継続的に監視・分析する必要があります。が作成した技法で、報告のあった各脆弱性の重大性を 

ULTRAREDによってサイバーセキュリティ部門はインターネット上で不正に公開されているアセットやサービスのインベントリを入手できます。このインベントリは完全かつ最新のもので、サイバーセキュリティ部門とコンプライアンス部門の両方で利用できるように整理されています。これによりULTRA REDは脆弱性とパッチ管理のための準備を整えます。ULTRA REDによる継続的な外部アセット・サービスディスカバリは、豊富なサプライチェーンや関連会社などの把握にも有効です。この機能によってサードパーティの潜在的なリスクにも対応でき、外部のプロバイダとの建設的なやり取りによってセキュリティを強化させ、信頼性向上につなげることができます。不正に公開されているアセットごとに、ULTRA REDはアンダーグランドのダークネットやオープンソースインテリジェンスから得た業界屈指のリポジトリ内の情報と照合し、クレデンシャル、個人情報、機密情報など、漏えいの可能性がある情報を検出します。

ULTRAREDは自動で実行するベクター検出と詳細な検証によって、誤検出の調査、検出した全アセットの重大な脆弱性検証に要する膨大な時間を削減することができるので、他の攻撃サーフェス管理ソリューションに比べてサイバーセキュリティ部門の生産性を大幅に高めます。脆弱性インテリジェンスと脅威インテリジェンスを組み合わせることで、サイバーセキュリティ部門はスピードと精度が必要な脆弱性の修復が可能になります。さらに信号対雑音比（SN比：本blogでは「全てのアラートに含まれる誤検知・過検知の比率」のことを指す）を下げることで、サイバーセキュリティ部門は無駄な作業をなくし、脆弱性とパッチ管理の効率を高めることができます。

脆弱性管理を完結させるために、ULTRA REDプラットフォームが提供するドキュメントと、修復に関する的確なガイダンスによって、サイバーセキュリティ部門とITオペレーション部門間のコラボレーションを強化します。その結果、潜在的に影響があり、エクスプロイトが実行可能な脆弱性の平均修復時間を大幅に短縮できます。

脆弱性管理の改善

もし脆弱性を放置した場合、悪意のある攻撃者による機密データへのアクセスを許し、システムの混乱や破壊、情報漏えいなどにつながる可能性があります。企業や組織の回復力向上、規制コンプライアンス強化のためには、リスクベースの厳格な脆弱性管理プログラムによって侵入リスクを回避することが何よりも重要です。 

強力なアセットディスカバリと脅威インテリジェンスツールを追加することで、サイバーセキュリティ部門は最も重大な脆弱性を正確に判断し、最優先すべきセキュリティ対策が必要なアセットを特定することができます。従来の脆弱性管理プログラムから脅威を見極める機能を備えたリスクベースの脆弱性管理に移行すべき時です。ULTRA REDがお手伝いいたします。  

詳細はこちらをご覧ください。

^[1]https://cybersecurityventures.com/top-5-cybersecurity-facts-figures-predictions-and-statistics-for-2021-to-2025/ (Security Magazine)

^[2] https://nvd.nist.gov/vuln-metrics/cvss (NIST)

‍