Bizコンパス

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは
2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

著者 Bizコンパス編集部

 慢性的な情報セキュリティ人材の不足、世界的に進化を続けるサイバー攻撃に加えて、日本では2020年に向けて世界から注目が集まることで、国内でのサイバーテロのリスクも高まると予測されています。

 そんな中で、ITシステム運用の「効率化や見える化」に貢献するITサービスマネージメント(ITSM)やITオペレーションマネージメント(ITOM)と同じように、フレームワークによって運用を可視化する手法がセキュリティ分野にも拡大しています。

 注目されているのが、セキュリティオペレーションマネジメントによる、「継続的な脆弱性管理」です。今回は、これから企業の情報セキュリティをいかに強化すべきかを、セキュリティオペレーションマネジメントの専門家であるServiceNow Japan株式会社(以下、ServiceNow)の高橋卓也氏と、脆弱性管理の専門家である、Tenable Network Security Japan K.K.(以下、Tenable)の阿部淳平氏に聞きます。

脆弱性の管理は、人の手ではもう不可能?

 ここ数年で脆弱性管理を取り巻く環境は「劇的に」変化しています。5~6年前までは1年間で発見される脆弱性は数千件程度でしたが、昨今は発見される脆弱性の数が急激に増加。昨年の公表では年16,500件以上報告されています。ServiceNowの高橋氏は、そういった現状に対して、日々、脆弱性の対応に追われている「現場の疲弊」を指摘します。

「脆弱性はCVSS(共通脆弱性評価システム)の10点満点のスコアリングで評価されており、一般的に7点から10点を『危険』として優先順位付けする事があります。しかし、数年前から公表される脆弱性の多くが7点以上となり、昨年は全体の6割、1万件以上を占めています。多くの企業がエクセルシートをベースにした手作業での対応を行っている現状においては、もはや人の手で対応するのは物理的に不可能になっています。結果として、さまざまなソフトウエアにパッチが当たらず、脆弱性を抱えた状態で運用されています。

 PCに侵入して身代金を要求するランサムウェアWannaCry(ワナクライ)は2年前に大流行し、すでに広く周知されている対策があるにも関わらず、現場では目の前の業務に忙殺されてしまい、未だにパッチ適用も行えず被害をうける企業があるのが実情です」

 セキュリティエンジニアであるTenableの阿部淳平氏は、脆弱性が急増している背景を次のように説明します。

「サーバーやPCのみならず、スマートフォンやIoT機器なども含めてセキュリティ対策が必要な範囲が拡大したことが挙げられます。SaaS普及によるOSやアプリケーションの多様化も影響しています。ベンダーからアプリケーションの脆弱性情報が随時公開されていますが、その情報がサイバー攻撃の標的になることもあり、イタチごっこが続いています」

 経済産業省やIPA(情報処理推進機構)などが策定したセキュリティ対策のガイドラインでは、最初に取り組むべきポイントとして、脆弱性管理の徹底を挙げています。さらにNISTと呼ばれるセキュリティの国際標準フレームワークでも、脆弱性管理は重要な対策のひとつとして定義されています。

 そういった流れもあり、高橋氏は、企業内での脆弱性管理への意識が変わりつつあると言います。

「脆弱性管理を含むセキュリティ対策を外部委託するケースも多く見受けられます。しかし、いざインシデントが発生したときに最終的に責任を負うのは委託元である企業です。そのため現在、多くの企業で脆弱性管理を専任で行なう担当者を置き、被害を受けてからの対処療法ではなく、まずは被害を受けないように備える脆弱性管理を自社内できちんと行おうという流れになりつつあります」

SHARE

関連記事

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2018.11.28

セキュリティサービスを見きわめる方法

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

2018.04.18

短期化する脆弱性の被害を防ぐには?

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

テレワークのセキュリティでの9つの疑問と回答

2020.05.12

IT&ビジネス最新ニュース第11回

テレワークのセキュリティでの9つの疑問と回答

SSDにおいて削除したファイルの復元は可能か?

2020.04.21

今知っておきたいITセキュリティスキルワンランクアップ講座第21回

SSDにおいて削除したファイルの復元は可能か?

「スマホ窃盗」から身を守るための対策とは

2020.04.13

セキュリティの“盲点”第2回

「スマホ窃盗」から身を守るための対策とは

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

2020.03.11

セキュリティ対策に求められる新たな視点第14回

「サイバー攻撃から24時間体制で守る運用」をアウトソース!?その効果とは

“届いてから最短10分”でテレワークを始める方法がある

2020.03.04

テレワーク導入の“壁”を解決第1回

“届いてから最短10分”でテレワークを始める方法がある

ECサイトからのカード情報の流出。利用者ができる対策は?

2020.02.20

今知っておきたいITセキュリティスキルワンランクアップ講座第20回

ECサイトからのカード情報の流出。利用者ができる対策は?

セミナー・イベント情報

もっと見る

こちらを見るには
会員登録が必要です