脆弱性管理とは?脆弱性診断との違いや必要性、プロセスについて解説

  • セキュリティ

脆弱性管理とは?脆弱性診断との違いや必要性、プロセスについて解説

株式会社SHIFT マーケティンググループ
著者 株式会社SHIFT マーケティンググループ

お役立ち資料

Introduction

脆弱性管理とは、脆弱性診断と何が異なるのか、なぜ行うべきなのかなどを知りたい企業のセキュリティ部門の方も多いでしょう。脆弱性管理を適切なプロセスに沿って行うことで、セキュリティリスクを低減することが可能です。しかし、そのプロセスを行うためには、専門的な知識と経験が必要です。

この記事では、脆弱性管理とは何か、メリット、プロセス、脆弱性管理の注意点などについて解説します。

目次

脆弱性管理とは?

脆弱性管理とは、経済産業省(日本産業標準調査会)の『平成30年度サイバーセキュリティ経済基盤構築事業の資料』によると、以下のように定義されています。

脆弱性管理

脆弱性管理とは、コードやデザインの欠陥によってエンドポイントやネットワークのセキュリティを危険にさらす可能性を減らすことによって、ネットワークセキュリティを管理するための積極的なアプローチ

脆弱性管理の具体的なプロセスは、自社の情報システムに関する情報と脆弱性情報の収集、評価、対応、再評価です。世のなかには多くの脆弱性が存在するため、優先順位の高い脆弱性から対応する必要があります。脆弱性管理の体制が整っていれば、脆弱性の優先順位を適切につけて、効果の高い対応を効率よく行えるのです。

脆弱性管理と脆弱性診断の違い

脆弱性管理と似た言葉として「脆弱性診断」という言葉もありますが、その違いとは何なのでしょうか。

脆弱性診断とは、厚生労働省の職業情報サイトjob tag『セキュリティエキスパート(脆弱性診断)』によると、以下のように定義されています。

脆弱性診断

脆弱性診断とはシステムに存在する脆弱性やセキュリティ上の不備についてツール等を使用して網羅的に診断するもの

セキュリティ上の問題を診断するため、セキュリティ診断と呼ばれることもあります。

一方で脆弱性管理とは、脆弱性に関する情報を収集し検出する、影響を調査し優先順位をつける、対応を行う、再評価するという一連のプロセスのことです。

脆弱性診断は、脆弱性管理のなかの一部分であることがわかります。

脆弱性診断についてはこちらの記事もご覧ください。
>>脆弱性診断とは?診断の種類や必要な理由、やり方やツールについても解説のページへ
>>脆弱性診断のよくある質問にお答えします。種類や必要性、外注先の選び方などのページへ

関連サービスについて

脆弱性管理が必要とされている背景

脆弱性を放置すると、情報漏洩やデータ改ざんのリスクなどが高まります。しかし、世のなかには、OSやソフトウェアなどに潜む脆弱性が数多く存在するため、すべての脆弱性に対応することは不可能です。

そこで適切な脆弱性管理ができれば、優先順位をつけて危険度が高い重大な脆弱性に絞って効率よく対処できます。優先度の高い脆弱性から対応するため、リソース面も考慮して、適切で効果の高い対応ができるのです。

脆弱性管理を行うメリット

脆弱性管理を行うメリットとは何か、具体的に見ていきましょう。

脆弱性の残留リスクを低減できる

脆弱性管理を行う際には、自社の情報システムを構成するOS、ミドルウェア、ソフトウェア、アプリケーションなどを詳細に洗い出します。たとえば、ネットワークに外部からアクセスできていないか、個人情報のとり扱いは問題ないか、システム停止時の業務への影響はどの程度かなどです。そして、脆弱性に関する情報収集を行って、OSやソフトウェアなどの脆弱性情報と比較し、脆弱性の有無を検出します。

このように、自社内に脆弱性が潜んでいないかを徹底的に調査することで、脆弱性が残留するリスクを低減することが可能になります。

脆弱性への対応にかかる期間を短縮できる

上記でご説明したとおり、脆弱性管理を行い、自社の情報システム構成と脆弱性について把握しておけば、脆弱性への対応をスムーズに行えます。

脆弱性管理はプロセスが明確に定められており、自社情報システムに関する情報収集から脆弱性調査、優先順位づけなどを確実に行っていきます。そうすることで、すぐに対処すべき脆弱性と優先順位の低い脆弱性に振りわけられ、適切な対処をスムーズに短期間で行うことが可能です。

このような脆弱性管理が日ごろから行われておらず、情報収集ができていないと、調査を一からはじめなければならないため、対処に時間がかかってしまうでしょう。

コストを削減できる

コスト

脆弱性管理を適切に行わずに脆弱性対策を行う場合、脆弱性の優先順位づけができません。見つけた脆弱性から対応をしていっても、適切な対応ができるとは限らず、無駄な作業が増えてしまいます。リスクの低い脆弱性の対策をいくら行っても、コストがかかるだけで有効な対策にはつながらないでしょう。

脆弱性管理を行うにはコストや手間がかかりますが、適切な管理ができれば、効率のよい対策につながります。重大なセキュリティインシデントにつながる可能性がある脆弱性対策を絞ることで無駄を省けるので、脆弱性対策全体のコストを削減できるでしょう。

関連サービスについて

脆弱性管理のプロセス

具体的な脆弱性管理のプロセスについて、ご説明します。

①脆弱性に関する情報収集を行う

まずは自社システムを構成するOS、ミドルウェア、ソフトウェア、アプリケーションなどを洗い出し、調査対象を正確に把握します。

次に、上記の自社内のハードウェアやソフトウェアに関する脆弱性情報を収集します。以下のような情報を活用するとよいでしょう。

・情報処理推進機構(IPA)の『情報セキュリティ注意喚起サイト
・JVN iPediaの『脆弱性対策情報データベース
・ハードウェアやソフトウェアなどの製品ベンダーサイト
・有識者によるブログ、SNSなどの情報

②脆弱性のリスク評価を行い、優先順位を決定する

自社に関わる脆弱性の情報がそろったら、リスクの評価を行います。評価の際には「共通脆弱性評価システム(CVSS)」による評価を活用します。

CVSSの定義は、情報処理推進機構(IPA)の『共通脆弱性評価システムCVSS v3概説』によると、以下のとおりです。

CVSS

情報システムの脆弱性に対するオープンで汎用的な評価手法

CVSSを活用すれば、脆弱性の深刻度を一定の基準の下で定量的に比較することが可能です。脆弱性の脅威を数値化することで、関係者の間でリスクの度合いや対応要否などを議論しやすくなります。

ただし、CVSSはあくまで脆弱性の技術的な深刻度を定量化するためのもので、セキュリティリスクの度合を表すものではありません。CVSSの基準値だけではカバーしきれない要因についても、個別に検証する必要があります。

CVSSの3つの基準は、以下のとおりです。

基本評価基準

脆弱性の特性を評価する基準です。機密性、完全性、可用性の3つのセキュリティ特性に対する影響について、外部から攻撃できるかどうかという基準で評価します。その結果を、CVSS基本値として算出し評価します。

この評価は、時間経過や環境の違いなどによって変化することはありません。

現状評価基準

脆弱性の現時点での深刻度によって評価する基準です。現時点で対策情報が存在するか、攻撃コードが出現しているかなどの基準で評価し、CVSS現状値として算出します。

この評価は、脆弱性への対応状況や時間の経過などによって変化します。

環境評価基準

利用者の利用環境も含めて脆弱性の深刻度を評価する、最終的な基準です。状況によって異なる二次被害の大きさ、企業ごとの製品の使用状況の違いなどによって、CVSS環境値として算出します。

最終的に、利用者が脆弱性への対応を決める際に使う基準です。

③対応方針を決定のうえ、実施する

脆弱性のリスクを評価できたら、対応の優先順位を決めていきます。

上記で算出したCVSS基本値、CVSS現状値、CVSS環境値、個別検証の結果などを評価して、優先順位づけを行います。単に対応するかしないかだけでなく、状況が変わった場合、一定の条件を満たした場合など、対応時のルールや判断基準を決めておく必要もあるでしょう。そうすることで、迅速に状況に合った対応を行うことが可能です。

優先順位と対応方針が決まったら、対応を実施します。脆弱性への対応方法は、以下の3種類があります。

・修正:パッチ適用やプログラムの更新などにより脆弱性の修正を行う
・軽減:修正対応が行えない場合に、代替策を講じて影響を軽減する
・受容:脆弱性が低リスクの場合、コストに見合った効果を得られない場合には修正を行わない

優先順位や影響範囲などの情報が十分に収集できれば、上記のどの対応が適切かを判断できます。

④再評価を行い、レポートを作成する

情報収集、リスク評価、優先順位と方針決定、対応内容など、これまでの一連のプロセスを記録し、レポートにします。さらに対応状況、結果なども記録して評価も行い、今後の脆弱性管理に活かします。

対応をしただけで記録をせずに放置してしまうと、今後も同様の事象が発生した際に経験を活かせません。検討内容や検討結果、対応内容、対応後の効果などを記録して評価することで、横展開が可能になります。また、その事象に詳しい人でないと対応ができないなど、属人化を防げます。たとえば、ほかの部署で同様の事象が発生した際に参考にできる、似た事象が発生した際に検証内容を活かせるなど、役立つ場面が多いでしょう。

脆弱性管理のプロセスを記録して結果を再評価し、レポートを作成しておくことで、自社内に脆弱性管理のノウハウを蓄積することが可能です。また、過去の事象を記録しておけば、それを参考にすることで脆弱性管理を行う担当者の育成にもつながります。

脆弱性管理を行う際の注意点

脆弱性管理を行ううえでの注意点について説明します。

脆弱性管理を行う際の注意点

重要度の高い機器から開始する

自社内にはさまざまな機器が存在すると思いますが、なかでも重要度の高い機器から脆弱性管理を行う必要があります。

自社ネットワークを構成する機器、外部から自社ネットワークを守るファイアウォールなどは、優先的に行う必要があるでしょう。また、社内の機密情報や個人情報、決済情報などを格納したサーバー、そこにつながる機器の重要度も高いです。脆弱性管理のなかで、自社のリソース調査を適切に行うことにより、重要度の高い機器を優先的に対応することが可能です。

ただし、重要度が低い機器であっても、対応がまったくいらないわけではないので、状況に応じて対応機器を選定する必要があります。

リスクベースの脆弱性管理(RBVM)も活用する

リスクベースの脆弱性管理(RBVM)という脆弱性に対する新しいアプローチもあります。

リスクベースの脆弱性管理とは、脅威の存在や悪用の可能性などにより生じるビジネス上の影響などのリスクに基づいて判断する方法です。従来のあらかじめ定めたルールやチェック項目への合否だけで判断する方法とは異なります。また、人工知能や機械学習機能と脆弱性データを組みあわせることで、判断の迅速化や正確性の向上を図ることもあります。

組織によって使用する機器やOS、ソフトウェアなどは異なるのに、すべての組織で一律の脆弱性の深刻度で優先順位を決めても、あまり意味がありません。たとえば、ある製品のCVSSスコアが非常に高くても、その製品を使っていない組織には影響がないため、対応は不要です。

適切な評価をするためには、セキュリティの専門知識が必要となる

ここまでご説明したとおり、脆弱性管理を適切に行うためには、セキュリティに関する専門知識が必要です。自社システムや脆弱性の洗い出し、CVSS基準値の決定、優先順位、対応方針の決定などは、セキュリティに関する深い知識と経験がなければむずかしいでしょう。

社内にセキュリティ専門チームがあれば、対応できるかもしれません。しかし、最新のトレンドをとり入れた対応をつづけることはむずかしく、それを実現するためにはコストもかかります。

そのため、適切な脆弱性管理を行うためには、専門家に相談するのがよいでしょう。コストはかかりますが、それだけの価値を得られる可能性が非常に高いです。

継続的に運用できる体制を組む

脆弱性管理は、一度行ったら終わりではありません。一連のプロセスを回した後に、再評価して次につなげる必要があります。脆弱性は存在しつづけるため、何度もサイクルを回して、その都度つぶしていかなければなりません。

そのためには、必要な人員を確保し、定期的に行うためのスケジュール管理、自動化管理などを継続的に行う必要があります。また、セキュリティインシデントは突発的に起こることもあるので、万が一の際に備えて、人員も確保しておかなければならないでしょう。

このように、継続的に脆弱性管理を運用できる体制を整えておく必要があります。

セキュリティベンダー選定のための比較チェックシート

脆弱性診断サービスの導入にあたり、数あるセキュリティベンダーの中から最適なベンダーを選定するためには確認すべき観点が多くあり、それらを正しく判断するためには本来豊富な知見が必要です。
しかし、担当者の誰しもがそのような知見を持っている訳ではありません。そこで、SHIFTは、誰でも簡単に重要な観点を押さえながら、ベンダーの比較検討ができるチェックシートをご用意しました。お客様に合った最適なセキュリティベンダーを選んでいただくことにお役立ていただければ幸いです。

脆弱性診断サービスの導入にあたり、数あるセキュリティベンダーの中から最適なベンダーを選定するためには確認すべき観点が多くあり、それらを正しく判断するためには本来豊富な知見が必要です。
しかし、担当者の誰しもがそのような知見を持っている訳ではありません。そこで、SHIFTは、誰でも簡単に重要な観点を押さえながら、ベンダーの比較検討ができるチェックシートをご用意しました。お客様に合った最適なセキュリティベンダーを選んでいただくことにお役立ていただければ幸いです。

ダウンロード

まとめ

この記事では、脆弱性管理とは何か、メリット、詳細なプロセス、脆弱性管理の注意点などについて解説しました。

脆弱性管理を行うためには、セキュリティに関する正しい知識と経験、そして継続して運用できる体制づくりも重要です。ゼロから自社内で脆弱性管理を正しく行うのはむずかしいため、専門家に相談するのがよいでしょう。

>>SHIFTのセキュリティソリューションのページへ
>>導入事例ページへ
>>料金についてページへ
>>お問い合わせページへ

この記事を書いた人

株式会社SHIFT マーケティンググループ
著者 株式会社SHIFT マーケティンググループ

SHIFTは「売れるサービスづくり」を得意とし、お客様の事業成長を全力で支援します。無駄のないスマートな社会の実現に向けて、ITの総合ソリューションを提供する会社です。

サービスサイト:https://service.shiftinc.jp/
コーポレートサイト:https://www.shiftinc.jp/
X(旧Twitter):https://twitter.com/SHIFT_cp

ご支援業種

  • 製造、金融(銀行・証券・保険・決済)、情報・通信・メディア、流通・EC・運輸、ゲーム・エンターテイメント

など多数

Top