Bizコンパス

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは
2019.07.31

DXを加速させるITシステムの運用改革第9回

終らないアラート対応に終焉を、ServiceNowとTenableが打ち出す脆弱性管理とは

著者 Bizコンパス編集部

 慢性的な情報セキュリティ人材の不足、世界的に進化を続けるサイバー攻撃に加えて、日本では2020年に向けて世界から注目が集まることで、国内でのサイバーテロのリスクも高まると予測されています。

 そんな中で、ITシステム運用の「効率化や見える化」に貢献するITサービスマネージメント(ITSM)やITオペレーションマネージメント(ITOM)と同じように、フレームワークによって運用を可視化する手法がセキュリティ分野にも拡大しています。

 注目されているのが、セキュリティオペレーションマネジメントによる、「継続的な脆弱性管理」です。今回は、これから企業の情報セキュリティをいかに強化すべきかを、セキュリティオペレーションマネジメントの専門家であるServiceNow Japan株式会社(以下、ServiceNow)の高橋卓也氏と、脆弱性管理の専門家である、Tenable Network Security Japan K.K.(以下、Tenable)の阿部淳平氏に聞きます。

本インタビューのServiceNow高橋氏、Tenable阿部氏が登壇・講演する「DXを推進する脆弱性管理の最新動向とセキュリティ担当者にもたらす価値とは」と題するセキュリティ業務プロセスDXセミナーが2019年8月30日に開催されます。詳細は本記事の最後にてご確認ください

気になる見出しをクリック

脆弱性の管理は、人の手ではもう不可能?

“霞が関”と勘違いして、“霞ケ浦”がサイバー攻撃対象に

脆弱性スキャナで、優先すべきリスクを3%まで絞り込める

 脆弱性管理の仕組みを作ることの重要性において、ServiceNowが昨年発表した情報セキュリティ担当者を対象にした調査をひも解くと、興味深い事実が浮かび上がってきます。その調査では、過去2年間に情報漏えいを経験したことがあるという回答のうち64%が「すでに提供されているパッチを適用しなかったこと」が原因だったと述べています。

「極端な話をすれば、6割以上の情報漏えいはすでに公開されているパッチをきちんと適用することができていれば防げていたということです。にもかかわらず多くの企業が十分な対策を行うことができず、被害を被ってしまっているのが実情です」(高橋氏)

 同じ調査で「日本企業の83%の回答者が脆弱性の多さに情報セキュリティ部門の予算、人材の供給が追い付いていない」と答えており、これが国内での脆弱性対策パッチの適用プロセスが後手に回ってしまう最大の要因となっています。しかし、高橋氏はたった1台のパッチが適用されてない端末が狙われ、インシデントが発生したばかりにビジネスが完全に止まってしまうケースも数多くあると語ります。

「これまでの脆弱性管理では対象となるシステムを絞ったり、対象とする脆弱性を絞ったりすることによって、なんとかエクセルシートを使って運用されてきました。しかしビジネスを支えるシステムの数も、発見される脆弱性も膨大になっている現在では、今までのやり方ではうまくいきません。いまこそ毎日きちんと回る継続的な脆弱性管理のプロセスを作るべきなのです」

 阿部氏は、そのためには膨大な脆弱性というリスクを可視化できる「脆弱性スキャナ」などのツールを利用し、継続的に脆弱性を管理しながら、その結果を優先順位付けする仕組みが重要になると語ります。

「脆弱性管理は、優先すべきリスクから対応していくことが重要です。しかしながら、これまでのようなCVSSのスコアだけに頼った優先順位付けでは意味を成しません。これに対し弊社の脆弱性スキャンは、AIなどを駆使して特に危険な脆弱性を抽出し、対処すべき項目を3%ほどに絞り込めます。さらに平時から脆弱性管理を継続的に行い、端末などの状況を把握しておけば、万一インシデントが発生した際にも迅速な対応ができるようになります」

 加えて高橋氏は、「パッチ適用までの対応を考えた時にはビジネスへのインパクトも意識した優先順位付けと、部門間の情報連携も重要となってくる」と語ります。

「Tenableで優先対応が必要な脆弱性を3%に絞り込んだあと報告を受けたIT担当者は優先的に対処していくデバイスを決める必要があります。実際には、どの脆弱性がビジネスに影響を与えるのか判断し、優先順位付けすることが求められますが、現状ではこのような優先度付けは非常に手間がかかり、効果的に実施できていないケースが見受けられます。また、迅速な対処を行う際にはセキュリティ部門とIT部門との間で膨大な情報のやり取りが必要となります。

 このようなビジネスを意識した優先順位付けから部門間連携まで、脆弱性対応に求められるフローの自動化を実現させる共通プラットフォームを提供しているのがServiceNowです。デジタルトランスフォーメーション(DX)が加速する中、システムの拡大は止められません。これからの脆弱性管理では人材不足という大きな課題をクリアしつつ、増え続けるシステムと脆弱性に対しても即座に対応可能な仕組み自体を構築する事が必須となっていきます」

 このような部門間連携とフローの自動化は、「セキュリティ分野に限らず企業のDXにおいて不可欠」と高橋氏はいいます。継続的な脆弱性管理は、そういった仕組みを社内に作るための第一歩となりえます。

 

セキュリティ業務プロセスDXセミナー開催

 Bizコンパスでは2019年8月30日(金)に「DXを推進する脆弱性管理の最新動向とセキュリティ担当者にもたらす価値とは」と題したセミナーを開催。今回、登場した2名も登壇予定です。セミナーでは、限られたリソースの中で、脆弱性管理の新たなプロセスを実現する具体的な手法をベストプラクティスを交えて紹介。セキュリティの現場で直面するさまざまな疑問や質問に、セキュリティのプロが答えるコーナーも用意しています。「日々の多忙なセキュリティ業務に追われる働き方を変えたい」「もっと会社の資産を守るための対策を考える時間が欲しい」といった課題を抱える現場の方は、ぜひご参加ください。

※掲載されている内容は公開日時点のものです
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります

関連する事例記事はこちらからご覧になれます

IT事例ライブラリー

SHARE

あなたへのおすすめ

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2018.11.28

セキュリティサービスを見きわめる方法

3つの失敗例に学ぶ「脆弱性診断」を見極めるポイント

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

2019.06.05

デジタル化の“第一歩”の踏み出し方後編

2020年、日本はサイバー攻撃の舞台となる? 今から始めるセキュリティ対策

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

2018.04.18

短期化する脆弱性の被害を防ぐには?

IPA情報セキュリティ10大脅威から読み解く、脆弱性対策とは

企業のセキュリティ対策は“アウトソース”がカギ

2019.09.20

セキュリティリソースの不足をいかに補うべきか?第3回

企業のセキュリティ対策は“アウトソース”がカギ

“お堅い会社”が「Box」を公式ツールに採用。何がどう変わった?

2019.09.11

働き方改革&生産性向上のカギはどこにある?第13回

“お堅い会社”が「Box」を公式ツールに採用。何がどう変わった?

「公衆無線LAN」の危険性と安全に使う方法

2019.08.08

今知っておきたいITセキュリティスキルワンランクアップ講座第14回

「公衆無線LAN」の危険性と安全に使う方法

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

2019.08.07

サプライチェーンのセキュリティは大丈夫か?第1回

「繋がりやすくて便利」なサービスは、悪意ある者にも繋がっている

ブラウザのみで安全にファイルを共有できる「Firefox Send」

2019.07.01

今知っておきたいITセキュリティスキルワンランクアップ講座第13回

ブラウザのみで安全にファイルを共有できる「Firefox Send」

3種類のサーバー証明書「DV」「OV」「EV」の違いは?

2019.06.04

今知っておきたいITセキュリティスキルワンランクアップ講座第12回

3種類のサーバー証明書「DV」「OV」「EV」の違いは?

使いやすくセキュリティも強化したリモートワーク、そんなオイシイ話は“ある”

2019.05.22

働き方改革&生産性向上のカギはどこにある?第8回

使いやすくセキュリティも強化したリモートワーク、そんなオイシイ話は“ある”