セキュリティの現場では、脆弱性を重大度スコアで分類し、定期的なレビューサイクルの中で対応を検討するというやり方が長年にわたって標準的な運用とされてきた。こうした運用のもとでは、多くの場合、担当者はまず検出された脆弱性の件数や深刻度を整理し、優先度の高いものから順に対応を進めることになる。この運用の前提にあったのは、脆弱性の発見から悪用までに一定の時間的な猶予があることだ。しかし、AIの進化によって、その前提は大きく揺らいでいる。脆弱性の発見やエクスプロイトの開発が加速し、発見から悪用までの期間は、これまでとは比較にならないほど短縮されているのである。その結果、重大度スコアと定期評価のみに依拠した従来のアプローチは、十分に機能しにくくなっている。だからこそ、悪用される可能性やリスクの実態そのものに目を向けた、新しい考え方への転換が求められている。
本資料では、脆弱性管理からエクスポージャーとリスクの管理への移行に向けて、組織が取り組むべき「5つの要件」を解説している。自社のセキュリティ運用が今の脅威の速度に見合っているかどうかを、改めて確認してみていただきたい。
ホワイトペーパー