この記事はエンドポイントセキュリティの専門家が、デバイスやデータ、アプリケーションの保護のポイントを語っていく全5回のシリーズです。第4回は、4つの基礎のひとつである「脆弱性マネジメント」について集中的に解説します。
前述の通り、エンドポイントセキュリティを効果的なものにするためには、4つの「基礎」がある。本稿では3項目の「脆弱性マネジメント」について紹介する。
- アセットマネジメント
- ソフトウェア検査
- 脆弱性マネジメント
- 事故対応
当社が日本で自社向けに実施している脆弱性マネジメントの方法は、表面上は極めてシンプルである。ソフトウェア(及びファームウェア)は頻繁にアップデートされる。必要なのは、そのアップデートを確実に適用することなのである。
しかし実際のところ、アセットマネジメントに続く脆弱性マネジメントは、セキュリティというパズルのそれぞれのピースの中でも、最も重要なものの1つであり、常に適切な状態に維持し続けるのが、最も難しいものの1つでもある。
パッチは、組織の環境内の重要な機能や、中核となる機能を中断させてしまう場合がある。場合によっては、付随するプロダクトの動作を完全に止めてしまう可能性すらある。もし、あなたの組織が大量に抱えているモバイル機器に、古い16ビット又は32ビットのアプリケーションが動作しなくなるようなOSのアップデートが行われるとして、現場スタッフのアプリケーションが古いタイプの32ビットアプリケーションであるとしたら……。どうするか?
セキュリティは重要だが、業務を運営可能な状態で維持することはさらに重要である。脅威や脆弱性のエクスポージャーに対し日常的な業務ニーズをやりくりすることは、科学であるのと同時に、同じくらい芸術的でさえある。そこで、あなたの組織内で脆弱性マネジメントの良いスタートを切るために、次の3つの重要なステップを紹介したい。
- ステップ1:現在の取組姿勢の十分な理解
- ステップ2:トリアージと注目が必要なリソースの把握
- ステップ3:可能な限りの自動化
ステップ1:現在の取組姿勢の十分な理解
さて、まずは問題を深く掘り下げる前に、2つの基本をおさえておこう。もしあなたの組織が堅固なアセットマネジメント戦略を持たなければ、自社の脆弱性のエクスポージャーについて、正確に理解することは決してできない。
そして、もしあなたの組織がソフトウェアやハードウェアなどのアセットを適切に管理していれば、脆弱性スキャンツールを使って全ての既知のアセットをスキャンし、インシデント発生中に攻撃者が利用する可能性のある弱点や脆弱性を知ることができる、ということだ。
ネットワークは定期的なスキャンを実行し続ける必要があることを、忘れないでいてほしい。スキャン中にデバイスの電源が入っていなかったり、社員が休暇中であったり、前回のスキャン後に新しいデバイスが追加されている可能性は大いにある。スキャン結果とアセットリストを照らし合わせて、スキャンされていないアセットを見つけ出すことは、あなたの組織の「マスターアセットリスト」を確実に最新の状態に保つための、最良の方法でもある。
組織の環境やビジネスによっては、脆弱性スキャンをネットワークで実行する前に、スキャンの計画を立てる必要があるかもしれない。IoT/OT/IIoT/SCADA/ICSデバイスの中には、ツールによるアクティブスキャンにうまく反応しないものもあり、積極的にスキャンを実行すると不具合を起こす可能性のあるものもある。そのようなアセットがどこに存在するか確実に把握し、それらのデバイスのレジリエンスが懸念される場合は、ネットワークの当該エリアに対する、スキャニングツールによるスキャンを制限しておくべきである。次のステップに進む前に、これらの結果を全て入手し、理解に努めておくことが肝要だ。