脆弱性の管理とは

セキュリティ

IT化が進み様々なサービスが増える中、ソフトウェアやシステムの脆弱性を狙ったサイバー攻撃が増加している。不正アクセスによる機密情報や顧客情報の窃取、Webサービスのダウンなどの被害は後を絶たず、企業としてはイメージ低下にも繋がる危機的な状態である。今回は、そういった背景を元に重要性が高まっている脆弱性の管理について紹介する。

脆弱性管理とは
脆弱性の管理は必要か
脆弱性を放置してきた実態と解決策
脆弱性を管理する

脆弱性管理とは

・脆弱性とは

脆弱性管理の前に、まずは脆弱性について説明する。脆弱性とは、情報ネットワークシステムに関わるセキュリティの弱点であり、攻撃を受けることによって被害を受ける危険性のことである。大きな話題となったApache Log4jの脆弱性は記憶にあるだろう。新たな脆弱性情報が知れ渡る前は攻撃する側に狙われやすいので、速やかに対策を講じる必要がある。

・脆弱性管理とは

脆弱性の管理とは何か。サイバー攻撃はネットワークシステムを構築する機器やシステムの脆弱性を突いて狙ってくる。すべての脆弱性をあらかじめ把握して対処できればいいがなかなかそうはできない。攻撃を受けないに越したことはないがそれも不可能だ。そこで、ツールやソリューションを用いて脆弱性をいち早く把握して対処する、それが脆弱性の管理だ。様々な脆弱性管理のサービスが出ているが、自社の課題を理解し、必要なプロセスを踏んで、適切な対応をすることが重要だ。

脆弱性の管理は必要か

サイバー攻撃に対しては、通信経路上で攻撃のみをシャットアウトして防ぐのが基本だ。攻撃を受けることが全くなければ脆弱性管理は必要ないのかもしれないが、残念なことにファイアウォールなどのセキュリティシステムをすり抜けてくる攻撃があり得る。サイバー攻撃の被害報道が示すように脆弱性を完全にゼロにすることはできない。だが、被害を受けやすい脆弱性に対処するために先手を打っておくことは重要だ。経済産業省によってもサイバーセキュリティ経営ガイドラインが策定されており、企業の対応は、もはや必須とも呼べるだろう。

脆弱性を放置してきた実態と解決策

脆弱性が弱点となり被害を受けるリスクは分かっていながら、今まで運がよくやらなくても済んでおり、脆弱性を放置してしまうことが多い。脆弱性の管理は次のようなことでとても面倒だからだ。
・脆弱性管理には時間と手間がかかる
・脆弱性情報は増える一方
・判断して対処できる人材が限られ不足している
なので、手間や時間をかけずに、膨大な情報量の中から必要なものだけを労力をかけずに見つけたい。そのための脆弱性管理ツールがある。例えばVI-Engine（ブイアイエンジン）だ。

脆弱性を管理する

VI-EngineのVIはVulnerability Informationの略で脆弱性情報のことだ。VI-Engineは、IT資産の脆弱性を管理することに適したツールだ。脆弱性情報をDBから収集し、指定したベンダー名や製品名などの情報をもとに必要な脆弱性情報のみを抽出できる。SNS情報なども加味した、危険度の高い脆弱性のランキング表示も可能だ。

IT資産の脆弱性の状況を把握して、対処の優先度付けを行い、適切な対策を迅速に行う必要がある。そのためには、日々の脆弱性情報収集が重要となる。しかし、情報を理解し判断して対処できる人的リソースが量的にも質的にも不足している。手間や時間をかけずに、膨大な情報量の中から必要なものだけを見つけたい。そう考えているのがITシステムを支えているセキュリティ担当者だ。IT資産の脆弱性情報収集にお困りのセキュリティ担当者にVI-Engineをおすすめしたい。

VI-Engineで何ができるかはこうだ。
①IT資産に関する脆弱性チェック
②脆弱性情報のランキング付け（危険度の高い上位10件を表示）
③エンドポイントデバイスごとのOS/ソフトウエア脆弱性照会
④脆弱性対策状況のレポーティング
⑤脆弱性情報の更新に伴い、管理者へメール通知

クラウドサービスであるVI-Engineは、サブスクリプションで利用可能だ。自社開発なのでカスタマイズ要望の相談も可能だ。これからは脆弱性の管理を後回しにしないようにしたい。

2022/8/18 HCNETビジネス推進グループ担当Y