近年サイバー攻撃の手法が高度化・複雑化し、企業のセキュリティリスクは日々高まっており、企業は急ぎセキュリティ対策を行うことが求められています。
その中で注目されているセキュリティ対策の一つが、脆弱性管理です。
この記事では、脆弱性管理について、仕組み、必要性を初心者の方にもわかりやすく解説します。
脆弱性管理とは?
脆弱性管理とは、その名の通り「脆弱性を管理するITプロセス」のことです。
そもそも脆弱性とは、コンピューターソフトウェアに存在する「弱点」のようなものです。攻撃者によって侵入可能なルートが発見されたり、ソフトウェア上セキュリティ的に穴がある状態のことで、その状態は企業にとっては情報漏洩のリスクが高く非常に危険な状態です。しかし、この脆弱性はそれぞれのソフトウェアごとに日々発生しており、その情報を管理、対処していくのは大変手間がかかります。
そこで、最近では人手での管理ではなく、脆弱性をシステム上で自動的に管理する脆弱性管理ツールを導入する企業が増えています。
脆弱性管理の仕組み、プロセスとは?
脆弱性管理の仕組み、プロセスは、大きく以下の3つに分けられます。
①検知
一つ目は、検知です。それぞれのソフトウェアに潜む脆弱性を検知します。
脆弱性を検知するためには、「自社でどんなソフトウェアを入れているのか(IT資産)」の情報と、「ソフトウェアごとの脆弱性情報」の2つの情報が必要です。
一つ目の情報は、企業内で事前にIT資産の情報を一元的に管理しておく必要があります。
このプロセスは、脆弱性管理の前段階の「IT資産管理」と呼ばれます。
次に二つ目の脆弱性情報は、脆弱性団体のWebサイトやSNS、メーカーのサイトなど様々な方法で収集することが望ましいです。脆弱性管理ツールを導入した場合は、この情報収集の部分を自動で行ってくれます。
このような検知のプロセスで、まず今現在企業内にどんな脆弱性が存在しているのかを明らかにします。
②分析
次が、分析です。①の検知で見つかった脆弱性は、基本的には一刻も早く対処することが望ましいです。しかし、日々脆弱性は新たに発見され増え続けていくので、危険性、影響度に応じて優先順位をつけ、順番に対応していく必要があります。ここが人手だと非常に手間がかかるので、脆弱性管理ツールで自動化しないと、重大な脆弱性を放置してしまう事態にもなりかねません。
③対処
三つ目が、対処です。②で分析を行い優先順位をつけたら、どれくらいのスケジュールでどんな対処をする必要があるのかを決定します。
脆弱性に対する対処法は一つではなく様々ですが、一般的なのはパッチ適用です。脆弱性=セキュリティホールの部分にパッチという絆創膏のようなものを貼って穴を塞ぐイメージです。パッチ適用についてはこちらの記事で詳しく解説しているので、合わせて読んでみてください。
なぜ脆弱性管理が必要なのか?
脆弱性管理の仕組みについてはここまででわかっていただけたかと思いますが、ではなぜ今脆弱性管理が必要なのでしょうか?
一言で言うと、「攻撃が高度化・複雑化し、人手での対応では限界があるから」です。
セキュリティ分野において大きな影響力のある、世界有数のリサーチ&アドバイザリ企業であるガートナー社は、脆弱性について、以下のように述べています。
“2025年までに、脆弱性管理に対して従来の量的アプローチを採用している中規模企業の70%が、既知の脆弱性によって侵害を受けるでしょう。”
ここでいう従来の量的アプローチとは、セキュリティ担当者が脆弱性情報を収集し、自社のサーバーの定期的な点検等を通じて脆弱性を発見し、手動でパッチを適用するなどの対策を一つずつ行っていく方法を指しています。
近年攻撃手法の高度化・複雑化、またリモートワークの増加、クラウドシフト等によるIT資産の増加、多様化によって、脆弱性の数も膨大となり、人手でそれらを全て管理・対応するのは不可能に近い状況になってきました。しかし、人手で検知できない・対処が追いつかない脆弱性を放置しておくことは、企業にとって情報漏えいのリスクが非常に高く、危険な状態です。
だからこそ、脆弱性管理ツールを導入することで、優先順位付けを行い効率的に脆弱性を管理していく必要があるのです。
おわりに
いかがだったでしょうか。ガートナーの提言にもある通り、脆弱性管理は全ての企業が急ぎ取り組むべきセキュリティ課題となっています。気づかないうちにウイルスに侵入され企業の機密情報が漏洩してしまっていた、ということがないよう、しっかり対策をしていく必要があります。
コメント