脆弱性管理プログラムのベストプラクティス

ユーザーアバター
ケイティ・バイコウスキー
5 1分間の読書

 

今日では、ほとんどの組織が脆弱性管理プログラム(VMP)の導入に着手していますが、導入は容易ではありません。多くの組織は、システムに対する明確な所有権がないか、特定された脆弱性の修復を強制する権限が不足していることに気づいています。いずれにせよ、多くの組織において真のVMPを見つけ出し、実施するには時間がかかります。.

脆弱性管理プログラムとは何ですか?

VMPの導入が初めての方は、まず脆弱性管理とは何かを理解する必要があります。一見自明のように思えますが、脆弱性管理とは、組織内のパッチ未適用、設定ミス、未知のシステムに関連するリスクを特定し、特定されたリスクに対する修復プロセスを実施するライフサイクル管理のことです。.

あらゆる脆弱性管理プログラムには、通常、次のようなマイルストーンがあります。

  • 脆弱性管理ハードウェア/ソフトウェアの特定
  • 資産と所有者の識別
  • 脆弱性のスキャン、報告、修復に関するポリシー

VMPを導入する際、ほとんどの組織はまず、全員が遵守すべきポリシーを策定することから始めます。これは一部の組織では有効かもしれませんが、私の経験から言うと、脆弱性の修復において何が可能なのかという基準が明確でないと、恣意的な境界内での作業に固執することになります。何が可能なのかが明確になるまで、ポリシーの導入は控えることをお勧めします。.

脆弱性管理ハードウェア/ソフトウェアの特定

最初のステップは、組織内の要件を任意にリストアップすることです。つまり、脆弱性管理ポリシーの影響を受ける個人と話し合い、要件を収集するということです。私の経験では、以下の質問をすることで、初期要件を策定するのに役立ちます。

  1. 資産と所有者の識別:
    1. 自分が責任を負っているすべてのシステム (マシン) の在庫はありますか?
    2. 組織のデータ分類システムとの関係において、これらのシステムの重要性をご存知ですか?
    3. 特定のソフトウェアの所有者ではあるが、システム全体の所有者ではないというグレーゾーンはありますか?
  2. 脆弱性のスキャン、報告、修復に関するポリシー:
    1. システムの適切なスキャン期間はどれくらいでしょうか? 2 週間? 4 週間? 四半期ごと?
    2. すべてのシステムのレポートを受け取る場合、どの形式が最適ですか?
    3. 管理下にあるシステムはどのくらいの頻度で更新していますか?
    4. 特定のシステムでソフトウェアをアップグレード/アップデートできない場合はありますか? なぜですか?

これらの質問は、市場に出回っているハードウェア/ソフトウェアスキャン製品の基本要件を明確にするのに役立つはずです。そして、その要件は数多く存在します。全体的な要件を特定したら、要件を満たす製品のデモを探して設定しましょう。.

ニーズに合った製品を見つけるのは難しくありませんが、APIを備えた製品を選ぶことを強くお勧めします。私は両方の分野で豊富な経験を持っています。 QualysGuard脆弱性管理 (VM)と テナブルの 製品ラインは豊富ですが、そのほかにも多数の製品をご用意しております。.

資産と所有者の識別

前の質問リストで、資産とその所有者を特定する上で非常に重要なことを 1 つ挙げました。 特定のソフトウェアの所有者ではあるが、システム全体の所有者ではないというグレーゾーンはありますか?

この質問は一見単純ですが、フロントエンド、バックエンド、そしてそれらが存在するサーバーを持つWebアプリケーションを想像してみてください。これらはそれぞれ、組織内の異なる部門によって保守または所有されている可能性があります。では、このWebアプリケーションのパッチ適用/アップデートの責任者は誰でしょうか?これらの境界線を明確にし、合意を形成することは、VMPにとって非常に重要です。.

これらのグレーゾーンを特定すれば、残りの資産とその所有者を特定するのは比較的簡単です。資産の特定には、社内(認証なし)スキャンを実行してネットワーク上のすべてのシステムを特定するか、ネットワークチームに問い合わせる方法があります。彼らは必要な情報を持っています。.

ネットワークトポロジによっては、所有者の特定が困難になる場合があります。ネットワークがセグメント化されている場合は、サブネットごとに所有者を特定できるはずです。そうでない場合は、特定した資産をExcelシートに追加し、各システムの所有者を追跡してください。.

資産と所有者の関係を継続的に追跡し、確実に更新することも困難です。特に、大規模なグローバル組織の場合はなおさらです。この段階で重要なのは、初期リストを作成することです。ほとんどの脆弱性管理製品には、資産と所有者を管理するコンポーネントが搭載されており、導入することでこうした懸念の一部を軽減できます。.

スキャン、レポート、修復ポリシー

一般的な要件に従って脆弱性管理製品を選択し (試用版であっても)、資産と所有者のリストを一元管理したら、VMP を段階的に展開する準備が整いました。.

チームと密接に連携できると思われる部門または組織単位を選択してください。ご自身の部門の資産から始めることも可能です。.

ほぼすべての脆弱性管理製品には、認証なしと認証ありの 2 つ (またはそれ以上) のスキャン タイプがあります。.

認証されていません スキャンとは、脆弱性管理製品が各システムが何であるか、どのポートが開いているか、システムにインストールされている OS は何かを推測し、この情報に基づいて脆弱性を特定しようとすることを意味します。.

認証済み スキャンとは、脆弱性管理製品が提供されたSSHキー、ユーザー名/パスワードを使用して資産にログインするか、システムにエージェントがインストールされている必要があることを意味します。このタイプのスキャンは組織にとってより価値が高く、推測することなく正確な結果を得ることができます。古いソフトウェアバージョン、不足しているアップデート/パッケージ、開いているポート、ファイアウォールルールなどを特定します。.

特定の資産またはすべての資産に適用するスキャンの種類を決定したら、脆弱性管理製品のスキャン機能とレポート機能のテストを開始する必要があります。テスト期間は、組織の規模と構造に応じて、2週間から6か月の範囲となります。.

ここでのポイントは、どのスキャン設定が組織に最も影響を与えるかを判断することです。スキャン対象とスキャン対象外を設定する方法は複数あります。これはすべて、VMPの全体的な目標によって異なります。まずは重要な領域に焦点を当てることをお勧めします。これは完全に主観的な判断ですが、すべての修正に取り組む前に、まず以下の領域に焦点を当てることをお勧めします。

  • 外部スキャン: 外部の世界から見えるものを決定します。.
  • 外部スキャン: 外部に開いているポートを特定します。.
  • 内部スキャン (認証なし): ネットワーク マップ/トポロジと開いているポートを決定します。.
  • 内部スキャン (認証済み): 認証スキャンを使用してホストのサブセットをスキャンします。.
  • 最後に、組織に応じて 2 週間ごと、1 か月ごとなどのスケジュールを設定します。.

まずベースラインを設定することで、恣意的な期間を強制するのではなく、システムの種類に基づいて実行可能な範囲を判断できます。組織の要件を満たしつつ、システム所有者に過大な負担をかけない、スケジュールされたスキャン期間を設定することが重要です。資産所有者がこの新しいプロセスに慣れるにつれて、彼らは自らの責任をより強く認識し、システムに影響を与える重大な脆弱性が明らかになった際に、より的確に対応できるようになります。.

VMPの目的は、発見された脆弱性を可能な限り迅速に修正することですが、ただ対策を急いでいるだけでは不十分です。100台のサーバー/システムが1,000件の脆弱性に対して脆弱であるというレポートを渡しても、相手はどこから手を付けてよいのか分からなくなってしまいます。そのため、まずは重要な領域(例:開いているポート、構成設定、パッチ未適用のレベル5の脆弱性など)に焦点を当てたレポートを提供することに重点を置くことが重要です。.

これらの重要な領域に対処したら、レベル4、レベル3、レベル2へと進みます。新たな重大な脆弱性が特定された場合は、方向転換してその脆弱性へのパッチ適用に注力します。修復が完了したら、次に高いレベルの脆弱性を排除することで、このプロセスを繰り返すことで前進を続けます。.

もう一つのアプローチは、最も重要なシステムから取り組むことです。これにより、組織全体のリスクを軽減しつつ、全体的な成果を向上させることができます。私の経験では、組織にとって最も重要なシステムは、古いソフトウェアに依存していることがよくあります。ベンダーと協力したり、これらの脆弱性に対する緩和策を講じたりすることで、これらの脆弱性を修正するようにしてください。.

脆弱性管理とVMPは競争ではありません。この新しいプログラムは、セキュリティチームが取り組む終わりのないサービスです。そのため、忍耐強く取り組む必要があります。最初の1年ですべての脆弱性が修正されるとは思わないでください。それは起こりません。.

SOAR による脆弱性管理データシート

パッチ未適用、認識されていない、あるいは不適切な構成のハードウェア、アプリケーション、セキュリティスタック、システム、エンドポイント、クラウドサービスは、開いているポート、構成設定、そしてパッチ未適用の脆弱性を通じて、大規模なセキュリティ侵害を引き起こす可能性があります。Swimlaneを脆弱性管理ツールと統合し、セキュリティスタック全体を一元的に可視化する方法については、今すぐデータシートをダウンロードしてご確認ください。.

今すぐ読む

タグ

脆弱性管理

2016 年 2 月 17 日
サイバーセキュリティ戦略を強化するためのベストプラクティス
続きを読む
2022 年 3 月 1 日
業界のローコードセキュリティ自動化のベストプラクティスの力を活用する
続きを読む
2024 年 3 月 14 日
実装すべきSOCのベストプラクティス
続きを読む

ライブデモをリクエストする