脆弱性とは、ソフトウェアのバグによるセキュリティ上の欠陥を指します。近年、脆弱性情報が増加し、全てに即時対応することは困難です。そこで、医療業界の「トリアージ」の考え方を導入し、対応の優先度を決めることが重要です。 まず、正確なIT資産管理が前提となります。次に、収集した脆弱性情報を「脅威度」「深刻度」「重要度」で評価し、優先度を決定します。プロセスの自動化も活用し、効率的な脆弱性管理を目指します。 これにより、膨大な脆弱性情報から優先度の高いものを抽出し、効果的な対応が期待されます。
脆弱性とは
まず、ここでの 「脆弱性」 は 「ソフトウェアのバグによるセキュリティ上の欠陥」 という意味を指すものとします。
(Webアプリケーションの脆弱性診断や、サーバの設定不備、あるいは「組織の脆弱性は”人”であるため標的型攻撃訓練を行う」など、様々な文脈で「脆弱性」という言葉が用いられますが、ここでは冒頭の意味のみで使用します)
今回は、脆弱性管理を見直す、あるいは 「トリアージ」 を考える、といった内容について述べさせていただきます。
膨大な脆弱性情報とアラート疲れ
数年前と比べ、現在では実に多くの脆弱性情報が公開されるようになってきました。
「CVSSスコア7.0以上は全て検知し、即時アップデートせよ!」
といった方針を打ち出す対応も昔は可能だったのかも知れませんが、今では情報の多さから、現実的に運用を維持することが困難になり、運用の現場に過度な負荷がかかってしまいます。
そこで「トリアージ」という考え方を導入することにします。「トリアージ」とは、医療業界でよく用いられる 「対応の優先度を決める」 取り組みのことです。
これについては、各企業・団体から手引書のようなナレッジが公開されていますので、ぜひ参考にしてみてください。
まずは健全なIT資産管理から
満足のいく脆弱性管理を行うには、健全な(最新で正確な)IT資産管理ができていることが前提です。
もしIT資産管理の整備が十分でないと感じられる場合は、専用の資産管理ソフトなどを活用し、まずはIT資産管理の現状把握から見直すことをおすすめします。
脆弱性情報を収集して評価する(トリアージ)
ここからは、収集した脆弱性情報を評価してトリアージを行っていきます。 トリアージを行うには、多角的な(多次元的な)評価軸を用いることが重要です。例えば、以下のような評価基準を設定してみます。
脅威度 × 深刻度 × 重要度
- 「脅威度」 該当の脆弱性の現時点での脅威発生の程度として、EPSS(Exploit Prediction Scoring System)スコアや、CISAのKEV(Known Exploited Vulnerabilities)カタログを用います。
- 「深刻度」 該当の脆弱性そのものの深刻度として、CVSSスコア(Base Score)を用います。
ここまでは閾値を設定することで、機械的に優先度を判定することが可能です。
- 「重要度」 該当システムの重要度です。これは組織や担当、システム責任者によって評価が異なるものです。この重要度を加味して最終的な優先度を決定します。あるいは、システムの重要度(露出度)を測る指標として、ASM(Attack Surface Management)と連携し、外部の攻撃にさらされやすい箇所から優先して対応する、という方針も有効です。
プロセスの自動化
各スコアを取得するためのAPIが公開されているため、情報取得を自動化することも可能です。対象となるIT資産の特定や、対象者への通知まで自動化できるとなお良いでしょう。
これらの仕組み化により、膨大な脆弱性情報から優先度の高いものを抽出し、効率的かつ効果的に脆弱性管理ができるようになることを期待します。