脆弱性管理は、「セキュリティ」というパズルのなかでも最も重要なピースの1つである。脆弱性を管理することは、事業の推進と脅威への曝露のバランスを取る、という、芸術にも科学にも似た所業でもある。また、重要であるのみならず、水準の維持が非常に難しいものでもある。誰もが皆、自己の経済活動に損害を与える事象が起こらないことを祈り、リスク低減に尽力していながら、インシデントの発生自体は避けられないのだ。
2018年の年初に起きた、「Spectre」「Meltdown」騒動は読者の記憶に新しいことだろう。
Absoluteの日本法人カントリーマネージャーを務める藤川紳太郎氏
これらの騒動を受け、現在多くのベンダーは、セキュリティアップデートを緊急的に実施していると思われる。その際、第一の防衛線となる「エンドポイント」のセキュリティ戦略を慎重に立案することが、何よりもインシデントのリスクを大幅に低減し、大規模な侵害を防ぐことにつながることを改めて伝えたい。
エンドポイントセキュリティへの投資は、脅威の防止、少なくともその拡散を遅らせ、一定レベルのオペレーションを維持し、ユーザーを保護する上で有用だ。より効果的なエンドポイントセキュリティ戦略とは、ニーズに応じてレイヤ型で構成されるものである。そして、強力なアセット管理とソフトウェア監査が核になる。
これらの視点から、インシデント対処の計画立案とプロセス実施における4つのステップを以下に紹介する。
ステップ1:リソースのトリアージと優先順位付け
既知のアセットの欠点や脆弱性を発見するため、まずはアセットリストと相互参照しながら定期的に脆弱性スキャンを実施する。脆弱性評価から恣意的な判断を排除し、重要性の非常に高い脆弱性を即時に修正するため、一定の採点システムやツールを使用することが推奨される。スキャン中の例外履歴を記録しながら、今後高リスクとなり得るリスクの脆弱性再評価のための計画を立案していく。
ステップ2:自動化
リソース最大化の鍵となるのが自動化である。従来の境界を超えた拡大リーチによる自動パッチ適用でパッチ配信を支援し、他方でGRCツールが、包括的な事業リスクの理解というこれまでにない価値を提供する。