セキュリティの脆弱性を妥当な時間で効果的に修正するにはGartner Insights Pickup(222)

セキュリティとリスク管理のリーダーは、脆弱(ぜいじゃく)性管理プラクティスを形式的な基準ではなく、自社の具体的なニーズに対応させる必要がある。

» 2021年09月03日 05時00分 公開
[Susan Moore, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Smarter with Gartner」と、ガートナー アナリストらのブログサイト「Gartner Blog Network」から、@IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

 大手グローバル銀行が、3日以内に、全てのWindowsシステムにパッチを適用するのは可能かもしれないが、そのために必要なビジネスの中断は受け入れられないだろう。では、セキュリティの脆弱(ぜいじゃく)性を修正するための妥当な時間はどのくらいなのか?

 ブラジルの銀行やシンガポールの小売業者、米国の政府機関は、それぞれこの問いに対する異なる答えを持っている。組織ごとに脅威の状況が違うからだ。「業界標準」として認識されている脆弱性の修正時間には、組織固有の制約やテクノロジーの併用に関する検討事項、組織内ポリシー、外部のコンプライアンス要件は考慮されていない。

 「実際の状況は一筋縄ではいかない」と、Gartnerのアナリストでバイスプレジデントのクレイグ・ローソン(Craig Lawson)氏は語る。

 「重要なのは『プラットフォームにパッチを適用したかどうか』という観点ではなく、『プラットフォームの脆弱性における特定のリスクを十分に軽減したかどうか』という観点に立つことだ」(ローソン氏)

 そのためには、企業は総合的なセキュリティプログラムの一環として、より構造的なリスクと事実に基づく脆弱性管理のアプローチを取る必要がある。

脆弱性管理の十分なスピードとは?

 脆弱性の報告件数が膨大なため、企業は脆弱性を適切な時間内に修正しなければならなくなっている。

 脆弱性の悪用スピードを考えると、企業は、ベンダーから脆弱性に対処するためのパッチが公開されてから数時間以内に主要システムの緊急修正をする準備を整えておく必要がある。リスク軽減対策に、多大な投資をする必要もある。さらに、数カ月や数年ではなく、数週間以内に全てのシステムタイプについて緊急ではない修正を行えるよう、修正プロセスの成熟度を改善し続けなければならない。

 Gartnerは、妥当な時間内で効果的な修正を運用化する4つのベストプラクティスを推奨している。

1.リスク選好に合わせた脆弱性管理

 企業が脆弱性にパッチを適用したり、脆弱性を補ったりできるスピードには上限がある。このスピードは、企業のオペレーションリスク選好やITオペレーションのキャパシティー、能力、脆弱なテクノロジープラットフォームを修正しようとする際の中断に対処する力量に左右される。

 セキュリティリーダーは特定のユースケースを評価し、自社のオペレーションリスク選好性を特定のリスク群について、あるいは個々のリスクごとに評価し、修正に関する能力と限界を判断することで、自社のニーズと要件に合わせて脆弱性を管理できる。

2.リスクに基づいて脆弱性に優先順位を付ける

 企業は、脆弱性の深刻度や現在の悪用状況、ビジネス上の重要性、影響を受けるシステムのリスク度合いといったファクターを踏まえ、リスクに基づき多角的な観点から脆弱性に優先順位を付ける必要がある。

 「企業が実現できる最大の変更の一つは、実際に悪用されている脆弱性にフォーカスすることだ。それが第1の目標でなければならない。そうすることで、最大のリスクを最も早く軽減できるからだ」(ローソン氏)

3.緩和策と修正ソリューションを組み合わせる

 侵入検知および防御システムやWebアプリケーションファイアウォールのような仮想パッチを適用できる緩和策と、パッチ管理ツールのような修正ソリューションを組み合わせることで、攻撃対象領域を効果的に縮小するとともに、自社のオペレーションへの影響を抑えられる。侵害・攻撃シミュレーション(BAS)ツールのような新しいテクノロジーも、「既存のセキュリティテクノロジーがどのように構成されているか」「それらがランサムウェア攻撃など、さまざまな脅威を防げるかどうか」といった情報を提供する。

 そもそも、システムにパッチを適用できない場合もよくある。例えば、ベンダーがまだパッチを提供していない場合や、システムがもはやサポートされていない場合、ソフトウェアの互換性など他の理由がある場合などだ。規制が厳しい業種では、パッチを適用するような機能を実行することが制限されていることがある。

 「パッチを適用することが全てではない。パッチの適用は大変だ。システムの不調を招く場合があり、時間もかかる。プランBを持つ――つまり、パッチの適用以外の手だても用意する必要がある」と、ローソン氏は説明する。

 「脆弱性管理プログラムを効果的に運用すれば、攻撃対象領域を大幅に縮小できる。そうすれば、攻撃者にとって、あなたの会社は内部への侵入が難しい標的になる。総合的な脆弱性管理が重要なのはそのためだ」(ローソン氏)

4.脆弱性分析の自動化テクノロジーを利用する

 脆弱性の分析を自動化できるテクノロジーを利用することで、脆弱性を修正する時間を短縮し、修正効率を高められる。

 既存の脆弱性評価ソリューションをレビューし、自社の環境内のクラウドやコンテナ、サイバーフィジカルシステムといった新しいタイプの資産をサポートしていることを確認する。サポートしていなければ、そのソリューションを強化するかリプレースする必要がある。

出典:How to Set Practical Time Frames to Remedy Security Vulnerabilities(Smarter with Gartner)

筆者 Susan Moore

Director, Public Relations


Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。