脆弱性管理ソフトウェアは、このプロセスを自動化するのに役立ちます。脆弱性スキャナや時にはエンドポイントエージェントを利用して、ネットワーク上のさまざまなシステムについてインベントリ管理を行ったり、脆弱性を見つけたりします。脆弱性が特定されたら、リスクをさまざまな状況を考慮しながら評価する必要があります。その結果、最適な対応について決定を下すことができます。例えば、脆弱性の実際の深刻さを考えた場合には、脆弱性検証が効果的な方法となるかもしれません。

脆弱性管理と脆弱性評価の違いとは何か

一般的には、脆弱性評価は完全な脆弱性管理システムの一部にあたります。組織では、脆弱性管理アクションプランに関するより多くの情報を入手するために、複数の脆弱性評価が実施されることがよくあります。

脆弱性管理プロセスは以下の4つのステップに分けられます。

1. 脆弱性の特定
2. 脆弱性の評価
3. 脆弱性への対応
4. 脆弱性の報告

ステップ1： 脆弱性の特定

典型的な脆弱性管理ソリューションで中心となるのは脆弱性スキャナです。スキャンは4つの段階で構成されています。

1. PingしたりTCP/UDPパケットを送ったりすることで、ネットワークにアクセスできるシステムをスキャンする
2. スキャンしたシステムで実行されているオープンなポートやサービスを特定する
3. 可能なら、システムにリモートログインして詳細なシステム情報を収集する
4. システム情報を既知の脆弱性と関連づける

脆弱性スキャナはラップトップやデスクトップ、仮想および物理サーバー、データベース、ファイアウォール、スイッチ、プリンターなど、ネットワーク上で実行されているさまざまなシステムを特定できます。特定されたシステムでは、オペレーティングシステム、オープンポート、インストールされたソフトウェア、ユーザーアカウント、ファイルシステム構成、システム構成などの属性が検査されます。その後、この情報はスキャンしたシステムを既知の脆弱性と関連づけるために使用されます。この関連づけを行うために、脆弱性スキャナでは公に知られた脆弱性リストを含む脆弱性データベースを使用します。

適切に設定された脆弱性スキャンは、脆弱性管理ソリューションの重要な構成要素となります。時折、脆弱性スキャナがスキャンするネットワークやシステムを混乱させることがあります。組織のピーク時間中に利用可能なネットワーク帯域幅が大幅に制限される場合は、脆弱性スキャンはオフピークの時間帯に実行する必要があります。

スキャンする際に、ネットワーク上のシステムが不安定になったり、誤作動を起こしたりする場合、脆弱性スキャンから除外したり、スキャンによる混乱を少なくするために微調整したりする必要があるかもしれません。適応性スキャンは、ネットワークの変化に基づいて脆弱性スキャンをさらに自動化し、合理化するための新しいアプローチです。例えば、新しいシステムが初めてネットワークに接続された場合、脆弱性スキャナは週に1回、または月に1回実施されるネットワーク全体のスキャンを待つのではなく、できるだけ早くそのシステムをスキャンします。

脆弱性スキャナはシステムの脆弱性データを収集する唯一の方法ではありません。エンドポイントエージェントで脆弱性管理ソリューションを利用して、ネットワークスキャンを実行せずにシステムから脆弱性データを継続的に収集することが可能です。この方法は、従業員のラップトップが組織のネットワークに接続されているか、従業員のホームネットワークに接続されているかに関わらず、組織のシステムの脆弱性データを常に最新の状態に維持するのに役立ちます。

脆弱性管理ソリューションがこれらのデータをどのように収集しているかに関係なく、さまざまなオーディエンス向けのレポート、指標、ダッシュボードの作成に利用できます。

ステップ2：脆弱性の評価

脆弱性を特定した後は、それらを評価し、リスクが適切に組織のリスク管理戦略に従って処理されるようにする必要があります。脆弱性管理ソリューションでは、共通脆弱性スコアリングシステム（CVSS：Common Vulnerability Scoring System）スコアなど、脆弱性に関するさまざまなリスク評価やスコアを提供しています。こうしたスコアは、最初に焦点を当てるべき脆弱性について組織に伝える上で役に立ちますが、脆弱性によってもたらされる実際のリスクはこうした手っ取り早いリスク評価やスコアでは評価できない要因によるものです。

以下は脆弱性を評価する際に考慮すべき付加的要因の例です。

• この脆弱性は正しく検知されたものか、または誤検知か？
• インターネットから直接、この脆弱性を悪用できる人物がいるか？
• この脆弱性を悪用する際の難易度はどれくらいか？
• この脆弱性に関して既知の、公開されたエクスプロイトコードがあるか？
• この脆弱性が悪用された場合、ビジネスにどのような影響があるか？
• この脆弱性が悪用される可能性やその影響を緩和するような、他のセキュリティ管理手法があるか？
• その脆弱性が存在するようになってどのくらい経過しているか？　また、ネットワーク上ではどのくらい経過しているか？

セキュリティツールと同様に、脆弱性スキャナも完璧ではありません。脆弱性検知の誤差率は低いものの、まだゼロではありません。侵入テストのツールとテクニックを使用して脆弱性検証を行うことが誤検知の防止に役立ち、組織は実際の脆弱性への対処に集中することができます。脆弱性の検証演習や本格的な侵入テストの結果は、自らは十分に安全であるとか、対象である脆弱性はそれほど危険ではないと考えている組織にとって、驚くような経験になる場合も少なくありません。

ステップ3：脆弱性への対応

脆弱性が検証され、リスクであるとみなされた場合、次のステップは元の関係者とともに、ビジネスやネットワークに対するその脆弱性にどのように対応するかについての優先順位を付けることです。脆弱性への対応には以下のようなさまざまな方法があります。

• 修正：脆弱性を完全に修正するかパッチを当てることで、悪用できないようにします。これは組織が目指す理想的な対応オプションです。
• 緩和：脆弱性が悪用される可能性やその影響を軽減します。特定された脆弱性に対して適切な修正やパッチが利用できない状況で、必要になる場合があります。このオプションは、最終的に脆弱性を修正するまで、組織が時間を稼ぐために使用するのが理想的です。
• 受容：脆弱性が悪用される可能性に対して、またその影響を軽減するために修正や緩和を行いません。この方法は通常、脆弱性が低リスクであるとみなされ、悪用された場合に組織が負担するコストよりも修正コストの方がはるかに大きくなる場合に正当化されます。

脆弱性管理ソリューションは、脆弱性に対して推奨される修正手法を提供します。推奨されている修正手法が脆弱性の最適な修正方法ではない場合もまれにありますが、その場合は、組織のセキュリティチーム、システム所有者、システム管理者が適切な修正アプローチを決定する必要があります。修正は、即入手可能なソフトウェアパッチを適用するだけ、という簡単な場合もあれば、組織のネットワーク全体の物理サーバーを置き換えなければならないほど複雑である場合もあります。

修正作業が完了したら、別の脆弱性スキャンを実行して脆弱性が完全に解決されていることを確認するのが最善です。

ただし、すべての脆弱性を修正する必要はありません。例えば、組織の脆弱性スキャナがコンピューター上のAdobe Flash Playerで脆弱性を特定したものの、Webブラウザやその他のクライアントアプリケーションで使用できないようにAdobe Flash Playerを完全に無効にしている場合などには、この脆弱性は補完制御によって十分に緩和されていると見なすことができます。

ステップ4： 脆弱性レポート

定期的かつ継続的な脆弱性評価を行うことで、組織は長期にわたる脆弱性管理プログラムのスピードと効率性を把握することができます。脆弱性管理ソリューションには通常、多様なカスタマイズ可能なレポートやダッシュボードを利用して脆弱性スキャンデータをエクスポートしたり可視化したりするためのさまざまなオプションがあります。これにより、ITチームが最も少ない作業量で大半の脆弱性を修正できる手法を容易に把握したり、セキュリティチームがネットワーク内のさまざまな場所で長期にわたる脆弱性のトレンドを監視したりするのに役立つだけでなく、組織のコンプライアンスや規制に関する要件の順守も支援します。

脆弱性管理を通じて攻撃者の先手を取る

組織が常に新しいモバイルデバイス、クラウドサービス、ネットワーク、アプリケーションをその環境に追加しているのと同様に、脅威や攻撃者も常に変化しています。すべての変化には、ネットワークに新しい「穴」が開き、攻撃者が侵入して組織の最も重要な資産を持って出て行けるようになるというリスクが伴います。

新しいアフィリエイトパートナー、従業員、クライアント、顧客を得るたびに組織に新しい機会が開けますが、それは新しい脅威に晒されることも意味します。そうした脅威から組織を守るには、すべての変化に合わせて適応できる脆弱性管理ソリューションが必要です。それがなければ、攻撃者の方が常に一歩先を進むことになるでしょう。

脆弱性、エクスプロイト、脅威

脆弱性管理プログラムのフレームワーク