対処は必要だがコストがかかる

一般的には、こうした脆弱性情報を分析するために、セキュリティに精通した知識が必要です。その危険性を十分理解した上で、対策の優先順位を検討していきます。 そしてより重要な観点として、情報システムそのものを把握し、システムの重要性の観点から優先順位や対策範囲を決めていかなければなりません。 ネットワーク構成や取り扱っている情報、システムが求められる可用性など、「何を守らなければならないか」を熟知していなければなりません。

セキュリティコンサルタントを雇えば丸投げできるものではなく、自社のシステムを分析し、セキュリティに精通した専門家としっかり議論ができなければ、効果的で効率的な対策はできません。
しかし、コンサルタント費用が高額で且つ社内で横断的にシステムを理解している担当者が不足しているという課題が出てきてしまいます。

また途方もない数の脆弱性情報はCSVやExcelで取り扱わなければならず、機器の管理者への連絡や対応状況の確認など運用が本当に大変です。 管理者2名で4000以上の脆弱性に対応しなければならないと仰っていたお客様がいらっしゃり、多くの人材リソースを割く必要があります。 日々新たに発見される脆弱性に対して、まさに「いたちごっこ」をしなければならない状況です。

IT資産管理台帳の活用というアプローチ

コストの問題、人材リソースの問題、でも脆弱性を把握しなければ、セキュリティ対策はできない！どうする！？大量に出てきた脆弱性の対処！！

そこで、IT資産管理台帳の活用をまずご提案させていただきます。
IT資産管理台帳の定義は、ユーザがアクセスできるインターフェイスを持っているIT資産のリレーショナルデータベースです。 インベントリ情報を集めて情報システム部内で見る類の製品はエンドポイント管理製品です。IT資産管理台帳は、あらゆる資産を登録でき、任意に管理項目が追加できる機能がなければなりません。 多くの企業で自社開発し、棚卸などで利用していると思います。
この台帳を今回活用して大量に出てきてしまった脆弱性を効率的に分析する仕組みをご紹介します。

まずIT資産管理台帳は機器管理者や利用者がアクセスできるインターフェイスを持っているため、任意の確認事項に回答させることができます。
例えば「インターネットに接続される機器ですか？」「機器に個人情報は保存されていますか？」などセキュリティ上優先順位を決めるための質問事項に答えてもらいます。 IT資産管理台帳によっては、回答がない機器の管理者や上司にメールで督促する機能を持っている製品もありますので、回答の収集は簡単に行えると思います。 回答された情報を元に機器のリスクについてスコアリングしていけばよいわけです。
この考え方の特長は、機器の担当者に情報を入力してもらって機器自体の優先度をつけることができるということです。 すべてを把握して対応する必要がありません。機器責任者が分担して対応すればよいわけです。これらのスコアリングデータと脆弱性の深刻度などを掛け合わせて対応の優先度を検討していくわけです。

仕組みを構築する際のポイント

システム的な手法は二通りあります。

一つ目はIT資産管理台帳に脆弱性情報をインポートする方法です。
この手法のメリットは脆弱性情報を機器管理者にも見せることができ、進捗を彼らに登録させることができます。 進捗ステータスの未回答者には先ほどの督促機能を使えばラクチンです。Excelやメールを駆使して、管理していた脆弱性の進捗から解放されます。

二つ目は脆弱性管理台帳を別に作る方法です。
この手法は脆弱性ソースデータが複数あっても、取り込み統合的に管理ができるというメリットがあります。
IT資産管理情報は脆弱性管理台帳側に取り込みます。レポートや時系列で傾向を見るなど状況を把握していくには使い勝手がよいかと思います。

昨今の脆弱性検査ツールはCVSSなどのリスクスコア以外にも実際に使われやすさや実際に利用された実績がある、SNSで話題になっているなど多様なデータを提供してくれます。
社内の情報さえしっかりと整理されていれば、専門家に委ねなければならない部分は限定されるかもしれません。

セキュリティ脆弱性は、「定期検査」から「日々管理」していく業務に変わりつつあります。それだけサイバー攻撃被害に遭遇する危険性が高まっていることかと思います。
専門家に任せるのではなく自社でどう運用していくかという観点で、本日のトピックを参考にしていただければと思います。

過去記事一覧はこちら
/services/ivanti/column/index.html