脆弱性管理の仕組みを作ることの重要性において、ServiceNowが昨年発表した情報セキュリティ担当者を対象にした調査をひも解くと、興味深い事実が浮かび上がってきます。その調査では、過去2年間に情報漏えいを経験したことがあるという回答のうち64%が「すでに提供されているパッチを適用しなかったこと」が原因だったと述べています。

「極端な話をすれば、6割以上の情報漏えいはすでに公開されているパッチをきちんと適用することができていれば防げていたということです。にもかかわらず多くの企業が十分な対策を行うことができず、被害を被ってしまっているのが実情です」（高橋氏）

　同じ調査で「日本企業の83%の回答者が脆弱性の多さに情報セキュリティ部門の予算、人材の供給が追い付いていない」と答えており、これが国内での脆弱性対策パッチの適用プロセスが後手に回ってしまう最大の要因となっています。しかし、高橋氏はたった1台のパッチが適用されてない端末が狙われ、インシデントが発生したばかりにビジネスが完全に止まってしまうケースも数多くあると語ります。

「これまでの脆弱性管理では対象となるシステムを絞ったり、対象とする脆弱性を絞ったりすることによって、なんとかエクセルシートを使って運用されてきました。しかしビジネスを支えるシステムの数も、発見される脆弱性も膨大になっている現在では、今までのやり方ではうまくいきません。いまこそ毎日きちんと回る継続的な脆弱性管理のプロセスを作るべきなのです」

　阿部氏は、そのためには膨大な脆弱性というリスクを可視化できる「脆弱性スキャナ」などのツールを利用し、継続的に脆弱性を管理しながら、その結果を優先順位付けする仕組みが重要になると語ります。

「脆弱性管理は、優先すべきリスクから対応していくことが重要です。しかしながら、これまでのようなCVSSのスコアだけに頼った優先順位付けでは意味を成しません。これに対し弊社の脆弱性スキャンは、AIなどを駆使して特に危険な脆弱性を抽出し、対処すべき項目を3％ほどに絞り込めます。さらに平時から脆弱性管理を継続的に行い、端末などの状況を把握しておけば、万一インシデントが発生した際にも迅速な対応ができるようになります」

　加えて高橋氏は、「パッチ適用までの対応を考えた時にはビジネスへのインパクトも意識した優先順位付けと、部門間の情報連携も重要となってくる」と語ります。

「Tenableで優先対応が必要な脆弱性を3％に絞り込んだあと報告を受けたIT担当者は優先的に対処していくデバイスを決める必要があります。実際には、どの脆弱性がビジネスに影響を与えるのか判断し、優先順位付けすることが求められますが、現状ではこのような優先度付けは非常に手間がかかり、効果的に実施できていないケースが見受けられます。また、迅速な対処を行う際にはセキュリティ部門とIT部門との間で膨大な情報のやり取りが必要となります。

　このようなビジネスを意識した優先順位付けから部門間連携まで、脆弱性対応に求められるフローの自動化を実現させる共通プラットフォームを提供しているのがServiceNowです。デジタルトランスフォーメーション（DX）が加速する中、システムの拡大は止められません。これからの脆弱性管理では人材不足という大きな課題をクリアしつつ、増え続けるシステムと脆弱性に対しても即座に対応可能な仕組み自体を構築する事が必須となっていきます」

　このような部門間連携とフローの自動化は、「セキュリティ分野に限らず企業のDXにおいて不可欠」と高橋氏はいいます。継続的な脆弱性管理は、そういった仕組みを社内に作るための第一歩となりえます。

＜後編はこちら＞

※掲載されている内容は公開日時点のものです
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります