脆弱性管理とは?

脆弱性管理とは、ITインフラにおける潜在的なセキュリティ脆弱性を特定し、対処するプロセスです。 脆弱性を評価すべき潜在的な攻撃ベクトルには以下が含まれます。

• ハードウェアやネットワークインフラを含む、お客様のコンピュータシステムやデバイス。
• お客様のパブリッククラウドでホストされている資産（仮想マシン、コンテナ、その他のIaaS（Infrastructure as a Service）など）。
• オペレーティングシステム、サーバープロセス、生産性ソフトウェア、開発者ツールなど、お客様が実行しているソフトウェア。
• SaaSプラットフォームやウェブベースのツールなど、お客様が使用しているプラットフォーム。
• 開発するソフトウェア（依存関係を含む。例えば、NPMパッケージやパブリックリポジトリからのソフトウェアパッケージなど）。

オンラインで事業を展開したり、機密情報（特に法的に保護された顧客データ）を扱う組織にとって、脆弱性管理はセキュリティと継続性の観点から極めて重要です。使用するツール、ソフトウェア、プラットフォームがさらす脆弱性を管理することで、ハッキングやデータ侵害が成功し、組織が評判や法的、その他の財務的損害を被るリスクを低減できます。

脆弱性管理プロセス

脆弱性管理プロセスを確立する前に、インフラのユニークなサイバーセキュリティ環境に対応する計画を立てておく必要があります。これには、脆弱性管理プロセスが対象とするソフトウェアとシステムを決定すること、ソフトウェアの開発とデリバリーのライフサイクルに関わる人々の役割と責任を決定すること、セキュリティポリシーと実務を決定すること、そして最後に、これらの要件を満たすツールを選択することが含まれます。

セキュリティポリシーおよびセキュリティ対策に導入すべき効果的な脆弱性管理として一般的に認められている5つのステップは以下の通りです。

• 評価と特定：潜在的な脆弱性がないか、システムとソフトウェアを定期的にスキャンします。
• 評価と優先付け：各脆弱性の潜在的な影響と、その対処に必要な対策を評価し、特定された各脆弱性の修正を優先付けします。
• 修復と緩和： 脆弱性の一部は、ソフトウェアのパッチや設定変更により完全に修復することができます。 しかし、直接的に完全に修復できないものもあり、そのような場合は外部ツールを使用して緩和する必要があります。例えば、脆弱なアプリケーションへのアクセスをブロックするファイアウォールルールを追加するなどです。
• 報告と責任： 各脆弱性とそれに対応するために講じた措置を文書化します。 ここで重要なのは責任の所在です。各脆弱性に対する責任を明確に割り当てることで、対応漏れを防ぐことができます。
• 監視と再評価：新たな脆弱性は定期的に発見されるため、IT資産の継続的な監視と定期的な脆弱性の再評価を行い、緩和策が依然として有効であることを確認する必要があります。

脆弱性はどのようにしてランク付けおよび分類されるのですか？

ソフトウェアの脆弱性をランク付けし、カテゴリー分けするための業界標準のフォーマットは、共通脆弱性評価システム（CVSS）です。CVSSは、サイバーセキュリティの組織やベンダーによって、セキュリティ脆弱性の詳細を分類し、伝達するために使用されます。これには、脆弱性が悪用される可能性やその複雑さ、また悪用が成功した場合の影響の可能性などが含まれます。これは、0から10の深刻度スコアに変換されます。

米国国立脆弱性データベース（NVD）は、共通脆弱性識別子（CVE）のデータベースでCVSS形式を使用しています。CVEプログラムは、既知の脆弱性を一意に識別し、集中管理された検索可能なデータベースで管理しています。これにより、個人や組織は、既知の攻撃ベクトルに対して、自らのデバイスやソフトウェアにパッチが完全に適用されている（または緩和策が導入されている）ことを確認することができます。使用している製品についてCVEを確認することは、脆弱性管理プロセスの一部であるべきです。

脆弱性管理と脆弱性評価の違い

脆弱性評価は、脆弱性管理とは異なります。脆弱性評価は脆弱性管理プロセスの第一段階ですが、プロジェクト、アプリケーション、またはシステムごとに、単独で一度限りの作業として実施することも可能です。

ソフトウェア開発ライフサイクルにおける脆弱性の管理方法

脆弱性管理プロセスは、自社のソフトウェア開発ライフサイクル（SDLC）に統合されるべきです。 脆弱性は、コーディングや開発からアプリケーションの実行に至るまで、SDLCのどの段階でも発生する可能性があります。 効果的な脆弱性管理プログラムは、このライフサイクル全体にわたって網羅性とスキャンを提供し、重大な脆弱性が実稼働に入る前に確実に検出されるようにすべきです。

サプライチェーンセキュリティは、現代のソフトウェア開発において非常に重要です。サプライチェーン攻撃（悪名高いSolarWindsのインシデントを含め、何万もの企業が脆弱性にさらされる結果となったもの）は、サードパーティのソフトウェアやライブラリに依存するすべての企業、およびそれらの企業が提供する顧客にとってリスクとなります。

コードとテスト/デプロイメントパイプラインを監視して潜在的な問題を検出するCI/CDセキュリティに続き、運用環境で脆弱性を特定するためにランタイムスキャンを行うべきです。また、クラウドセキュリティ管理はコンテナオーケストレーションプラットフォームにも適用すべきです。Kubernetesなどのプラットフォームは、自動化とスケーラビリティのための強力なツールですが、独自の脆弱性があるため、評価と監視が必要です。

セキュリティ上の脆弱性が特定された場合は、関係者にただちに通知し、責任の所在を明確にして、対処を確実に実施する必要があります。高度なソリューションでは、コンテナイメージを構成レイヤーに分解し、脆弱性がベースイメージに起因するものか、アプリケーションレイヤーに起因するものかを特定することができます。これにより、脆弱性の責任がどのチームにあるかを容易に判断でき、迅速な修正が可能になります。

クラウド環境における SDLC を完全にカバーするには、各ツールを統合するクラウド優先のアプローチが必要です。従来のサイバーセキュリティツールは個々のタスクを個別に処理するため、クラウドネイティブ環境では完全な可視性やカバー率を実現できず、また、クラウドプラットフォーム自体の誤設定を監視して脆弱性を引き起こす可能性のあるものを直接統合することもできません。

クラウドネイティブアプリケーション保護プラットフォーム（CNAPP）は、クラウド資産を完全にカバーします。クラウド環境自体の誤設定や疑わしい動作を監視し、既知の攻撃ベクトルに対するソフトウェアの依存関係をスキャンし、実行中のアプリケーションの疑わしい動作を積極的に監視することで、CNAPPは脆弱性管理を含む包括的なクラウドセキュリティソリューションを提供します。

CNAPPを選択する際には、統一されたウェブインターフェースを通じてチーム間の連携を可能にする機能について比較検討し、セキュリティインシデントに即座に対処できるよう、アクティブな検知と対応の自動化機能が含まれていることを確認すべきです。攻撃経路が遮断された後は、修復と緩和策の調査と再評価を行うことができます。

Sysdigによるソフトウェアの脆弱性管理

Sysdigは、CNAPPプラットフォームの一部として包括的な脆弱性管理を提供しています。ソフトウェアの脆弱性を検出するために、ランタイム、CI/CDパイプライン、コンテナレジストリをスキャンし、既知のエクスプロイトや脆弱性の特定を支援します。これには以下が含まれます。

• ランタイム・インサイトにより、エクスプロイトのリスクが最も高いアクティブなパッケージのセキュリティ脆弱性を優先付けし、アラートのノイズを削減します。
• ベースイメージとアプリケーションレイヤーの脆弱性を明確に区別する階層分析により、適切な担当者に通知し、脆弱性を迅速に修復します。
• 自動化されたスキャンと、イメージが私たちの環境から離れることなく、SDLC全体にわたる脆弱性管理、およびワークロードの広範なカバレッジは、それがどこで実行されているかに関係なく提供されます。

自社の脆弱性管理戦略で実施するプロセスと手法を決定する際には、まず当社の『クラウドの保護：効果的な脆弱性管理へのガイド』を参考にしてください。そうすれば、基礎から始めることができます。

FAQs