脆弱性管理の本質は何か。実効性のあるセキュリティ対策を実現することが最も重要である。しかしながら、多くの企業でできているかといえば、そうではない。セキュリティリスクを評価する際、多くの組織は「脆弱性の数」に注目しがちである。しかし、実際のリスクは単なる数では測れない。脆弱性がシステム内でどのような位置づけにあり、どのような影響を及ぼすか、ランタイムの文脈を踏まえた評価が不可欠だ。たとえば、数が少なくても深刻なリスクにつながるケースがあれば、逆に数が多くても実際には悪用されにくい脆弱性も存在する。Datadogは数千社のアプリケーションデータを分析し、言語ごとの傾向や修正状況、重大な脆弱性が残り続ける要因を明らかにしている。Javaは脆弱性の総数は少ないが、その多くが深刻なリスクを含む。一方、PHPは大量の脆弱性が検出されるが、重大度は比較的低い傾向が見られる。
本資料では、こうした実データに基づく傾向分析を通じて、「数の多さ」に惑わされず、攻撃されやすい箇所を見極めて対策を優先するための視点を紹介する。脆弱性管理の本質を見失わず、実効性のあるセキュリティ対策を実現するためのヒントが得られる内容となっている。
ホワイトペーパー