Tenableは、脆弱性管理に特化したソリューションを提供する企業で、脆弱性対策の領域で世界一のシェアを持っています。Tenable Network SecurityJapan K.K.(以下、Tenable)の阿部淳平氏は、「脆弱性管理を自動化するプロセス」について解説します。
「脆弱性管理を自動化するファーストステップは、社内のあらゆるIT資産を可視化することです。仮想マシン、クラウドサーバーなどは1ヵ月もあれば構成が変わります。Tenableでは、リアルタイムでIT資産情報を収集して、可視化する仕組み提供しています。例えばパブリッククラウドでは、AWS、Azure、Googleに個別対応したAPIコネクタも提供しているため、ひとまとめにして可視化できます」
セカンドステップは、可視化された資産の評価と分析です。Tenableでは20年以上にわたり脆弱性対策を提供してきた実績とノウハウによって、誤検知が少なく、システムへの影響が少ない分析ツールを提供しています。中でも自動化で重要な役割を担うのが「優先対応脆弱性予測機能」です。

「優先対応脆弱性予測機能は、脆弱性に対する優先度付けをする機能です。現在広く活用されているCVSS(共通脆弱性評価システム)では、脆弱性が急増したことから、早急に対処が必要な判定が全体の6割、1万件以上あります。これらをひとつひとつ精査して、対応の優先順位を絞り込むことは困難です。この問題点を改善するため、Tenableは150のデータソースと10万以上の脆弱性を継続的に追跡調査。AIの機械学習によって優先的に対処すべき脆弱性の予測をしています。それによって脆弱性の97%を削減できます」

Tenableが脆弱性の緊急度の高さを判定する基準のひとつは、「直近28日以内にその脆弱性を悪用する攻撃が発生しているか」です。脆弱性が発見されたとしてもそれが悪用されていなければ、緊急度は高くないからです。判定の正確さを示す一例として、阿部氏が紹介したのが、2018年に悪用された上位5つの脆弱性の脅威に対するCVSSとTenableの判定状況の比較です。そこでは、CVSSの多くが7点台なのに対して、Tenableではすべて9点台と判定をしています。