セキュリティ担当者必見！脆弱性管理のよくある疑問 TOP 5 を解説

Reading Time: 1 minutes

脆弱性管理の重要性については、すでに多くのメディアやITベンダーが言及・発信しています。「脆弱性スキャンは必須」「パッチ適用は優先順位を付けて実施する」など、まさにその通りですが、セキュリティ担当者が知りたいのは「では、パッチ適用の優先順位付けはどこから始めるべきか？」「リスク分析はCVSSスコアだけで本当に十分なのか？」など、もっと踏み込んだ情報ではないでしょうか？

今回、ManageEngineでは各企業のセキュリティ担当者からよく寄せられる「脆弱性管理における疑問 TOP５」をピックアップし、その回答をさまざまなデータも引用しながらまとめたe-bookを作成いたしました。「自社の脆弱性管理が適切なのか自信がない…」そのような不安をお持ちのご担当者様は、ぜひ参考になさってください。

そこが知りたかった！脆弱性管理のよくある疑問 TOP5

「セキュリティ担当者を悩ます　脆弱性管理のよくある疑問 TOP5 徹底解説ガイド」では、以下の5つの疑問を取り上げています。

① 脆弱性評価は、月次または四半期ごとにやれば問題ない？

各組織や企業のセキュリティ担当者は、社員へのセキュリティ教育や、高まるランサムウェアの脅威に対抗するための新しいセキュリティルール策定など、常に多くのタスクを抱えています。そのため脆弱性評価だけに時間を取ることは難しいのです。しかし、新しい脆弱性は90分に1回発見されています。「どのくらいの頻度で脆弱性評価を行うべきか」または「手動のスキャンでは対応が難しい理由」も解説しております。

参考：パッチ適用の自動化で効率的にセキュリティ対策を行う方法

～Patch Manager Plusでは以下を自動的に実施できます～
1．欠落パッチ検出のためのコンピューターのスキャン
2．各ベンダーサイトからのパッチのダウンロード
3．脆弱性のあるコンピューターへのパッチ配布
4．レポートでのパッチ適用状況の可視化

② リスクベースの脆弱性管理が重要な理由とは？

脆弱性管理の課題の一つが、OSやソフトウェアにおけるセキュリティ上の欠陥、つまり脆弱性の数が非常に多いという点です。以下は、2022年第4四半期に登録された脆弱性の種類別件数ですが、Webサイトの脆弱性を悪用して、悪質なサイトへ誘導するスクリプトを実行するクロスサイトスクリプティング攻撃が非常に多くなっています。

図：2022 年第 4 四半期に登録された脆弱性の種類別件数（出展：IPA 独立行政法人情報処理推進機構セキュリティセンター）

一方で、各企業におけるセキュリティ担当者の人数・時間は限られています。そこで実施したいのがリスクに焦点を合わせた脆弱性管理です。e-bookでは、リスクベースの脆弱性管理が、スムーズな業務の遂行にもたらすメリットも紹介しております。

③ セキュリティリスク分析においてCVSSスコア以外に有効な指標はある？

脆弱性の深刻度を評価するCVSSのスコアを参考に、リスクの優先順位付けを行っている組織は多いと思われます。しかしCVSSスコアのみを基準にしてしまうと、リスクの判断を誤る可能性がある理由をe-bookでは詳しく解説しております。また、CVSSスコアを補強できる有効な指標を複数ご紹介しております。

④ ゼロデイ攻撃から組織を守る方法は？

プログラムの脆弱性を修正するパッチが提供される前に、その脆弱性を狙うサイバー攻撃が「ゼロデイ攻撃」です。Ponemon Instituteのレポート「State of Endpoint Security Risk」によると、成功した侵害のうち80%は、新規または未知の「ゼロデイ攻撃」によるものでした。

完璧な対応が難しいゼロデイ攻撃ですが、ゼロデイ攻撃のリスクを低減するために取れる対策はあります。その対策を複数ご紹介し、各対策における具体的な取り組みもあわせて解説しております。

⑤ パッチ管理以外に合わせて実施すべきセキュリティ対策とは？

テレワーク・ハイブリッドワークが定着した今、ソフトウェアの脆弱性管理だけでなく、エンドポイントのセキュリティも強化する必要があります。e-book ではパッチ管理に加えて、エンドポイントのセキュリティを強化するための複数の対策を、具体的にご紹介しております。

パッチ管理以外に今すぐ実践できるセキュリティ強化策

・最新のウイルス定義ファイルの利用
・アカウント制御
・パスワード管理、アカウント凍結のポリシー策定
・セキュリティに強い構成管理
・アクティブポートの監査
・安全なリモートデスクトップ共有

これらの各強化策の詳細を解説しております。ぜひご覧ください。

脆弱性診断の基本を知りたい方は

脆弱性診断について、基本的なところから知りたいという方には、デジタル庁が発表している「政府情報システムにおける脆弱性診断導入ガイドライン」が一つの参考になります。これは政府情報システムに関わる各機関のセキュリティ担当者に向けて、最適な脆弱性診断を選定・調達できるようにするための基準およびガイドラインがまとめられたドキュメントです。民間企業のセキュリティ担当者においても、自社の脆弱性診断を再度見直すツールとして参考にできそうです。

以下の図は、システムにおいて脆弱性が混入しうる箇所を部位ごとにまとめたものです。

図：情報システムにおける脆弱性の発生部位（出展：デジタル庁）

見ての通り、脆弱性の発生個所はシステムの広範囲にわたりますが、例えばFW（ファイアウォール）やLB（ロードバランサ）の脆弱性については「プラットフォーム診断」、Webアプリやアプリミドルウェアの脆弱性診断の導入について、ドキュメントにはわかりやすくまとめられています。

また、先述した「CVSSスコアのみを基準にしない点」についても、同ドキュメントも同様に「（CVSSの）基本評価基準はあくまでもその脆弱性の技術的特性を示すものであり、それ単体で対応の優先度を決めるべきものではない」（引用：デジタル庁）と記載しています。

ほかにも、政府情報システムにおける脆弱性診断の実施基準についても明記しています。この「政府情報システムにおける脆弱性診断導入ガイドライン」とe-book「セキュリティ担当者を悩ます　脆弱性管理のよくある疑問TOP5徹底解説ガイド」の2つを照らし合わせながら、自社の脆弱性管理について一つひとつ再確認してみるのもよいかもしれません。

パッチ管理ならPatch Manager Plus

Patch Manager Plusは、WSUSだけではカバーできないMacやLinux端末への自動パッチ配布だけではなく、850種類を超えるサードパーティアプリケーションのパッチ配布を行えます。クラウド版・オンプレミス版をご提供しております。

■Patch Manager Plusの特徴
脆弱性情報の収集から、欠落パッチの検出、配布まで1つのコンソールから実行！

■お役立ち資料：パッチ管理ツール比較

■お役立ち資料：WSUSの悩み5選「〇〇ができない」を解決するパッチ管理ツール併用のすすめ

■無料ですべての機能をお試しいただけます。
Patch Manager Plusの評価版をクラウド版/オンプレミス版ともにご試用可能です。
30日間実際にお使いいただき、じっくりご検討ください！
≫無料トライアル