解説：脆弱性管理～私たちはこれまで、すべて間違っていた～

～テクノロジーインサイトブログを翻訳してご紹介しています～

脆弱性管理は、その複雑さゆえに、多くの企業が苦労している分野です。昨今の企業は重要なビジネスプロセスを支えるために、レガシーシステムに依存しながら絶え間なく変化するテクノロジーで環境を管理しています。

このような複雑な課題に対応するため、サイバーセキュリティの専門家は新しい脆弱性管理方法を生み出し続けています。 これらは脆弱性スキャン、構成管理データベース（CMDB）、共通脆弱性識別（CVE）ID、ポリシー、パッチ期日、そして限りなく多様なレポートなど、問題を管理するためのプロセスを含みます。要するに、サイバーセキュリティの専門家が、複雑な問題をさらに複雑にしてしまったのです。私たち（サイバーセキュリティの専門家）は、これまで間違ったことをしてきたのです。CIOとCISOはこの事実を認識することで、脆弱性管理ソリューションを簡素化し、組織として成功する可能性を高めるために使用できる方法を模索することが重要です。

完璧を追求することを放棄する

脆弱性管理における問題解決には、さまざまなアプローチがあります。技術者として、我々は脆弱性を管理するためのアプローチに細部までこだわることはほとんどありません。私たちは、問題解決において最も効率的なアプローチとして、「完璧よりも進歩」という考え方が有効であることを発見しました。この視点は、どのような状況でも、まず何が真実であるかを知ることから始めるのが最も一般的です。企業のデータストアを活用する、既知のサイバーセキュリティの脆弱性とその特性に基づいて経験則に基づく仮定をする、あるいは単に特定のプロセスの曖昧さを管理するなど、常に進歩を優先させる必要があります。「完璧を求める」考え方を捨てれば、プロジェクトチームは解決策を決定するために、より早く前進することができます。

効果的な脆弱性対応期日を設定する

脆弱性管理プログラムにおいて、IT部門とビジネス部門の間でしばしば生じる共通の課題とは、すべての利害関係者にとって現実的で、尚且つ成功する修復プロセスを構築することです。脆弱性修復プロセスを成功させるためには、ITがどのように機能しているかを理解し、現在の能力の枠組みの中で作業することから始まります。ビジネス部門が非現実的な期待を強要し続けると、何も達成できません。その代わりに、脆弱性管理プログラムの現状を理解し、プロセスを開発し、その後、将来の状態に対する期待を予測することが多くの場合最良の実践となります。ビジネス部門が理解できる言葉でリスクを伝え、ビジネスの期待とITの仕組みを一致させることが、脆弱性修正のタイムラインのパラメータをうまく設定する鍵になります。

真の課題を特定する

脆弱性管理プログラムでは、問題の根本的な原因を適切に調査や検討することなく、「直して忘れる」というモットーを採用することがよくあります。「もぐらたたき」と呼ぶ人もいますが、これは一般に、脆弱性管理ソリューションの目的が、不足しているパッチのバックログを解消することである場合のアプローチです。このアプローチの問題点は、早期に発見しなければ既知の脆弱性が組織的、あるいはプログラムレベルの問題の背景を理解することなく一貫して改善（あるいは「修正」）されることになり、その結果、このような問題が頻発しまうことです。このアプローチに対する私たちの解決策はシンプルです。組織は、最も重要な問題の根本原因分析を行うためにリソースを割く必要があります。この分析は様々な方法で行うことができますが、単に「なぜ」と問うことから始められます。プログラムレベルで根本原因分析を行うために十分な時間が割かれない限り、最も根強い重要な脆弱性の真の原因は不明なままです。

プログラムの成果を一貫して伝え続ける

情報セキュリティの専門家として脆弱性管理プログラムの結果を伝えることは、適切な文脈や方向性がない場合、神経をすり減らす作業となります。例えば、間違ったオーナーに結果を伝えると混乱を招き、結果的に報告プロセスの効率が悪くなることがあります。幸いなことに、これらの問題の多くは一貫性と透明性によって解決することができます。脆弱性管理プログラムの結果の伝達は長期的な傾向や進捗のための指標を提供するために一貫している必要があります。また、プログラムのパフォーマンス結果はプログラム内の強みと欠点を強調するために、想定されるオーディエンスに対して透明であるべきです。特に最初の段階では脆弱性管理の理解を確認するためにもフィードバックを引き出すことが重要です。情報セキュリティの専門家が既知の脆弱性を明確に表現することで、対象者が報告プロセスに価値を見出し、混乱を減らすことが常に私たちの目標であるべきです。

経営層に合わせて指標を設定する

脆弱性管理プログラムの健全性を診断するために使用する指標を決定する際に考慮すべき最も重要な要素は二極化です。指標は、それを見た人が座ったままでいられるような安心を与えるか、あるいは椅子から飛び上がるような警戒心を与えるかの、両極端のどちらかであるべきです。これは、「どの程度悪いのか」という質問に対する答えとしてプログラム指標の閾値を定義することで、実際によく見られることです。さらに、経営陣への報告に関しては、IT担当者以外でも理解できるような測定基準が必要です。複雑さの落とし穴は測定基準を調整するときにも現れます。効果的に運用された場合、プログラム指標は組織内の最大または最も重要な問題領域を強調する必要があります。この指標は脆弱性管理プログラムの遠隔測定として使用されることを意図しています。このように、プログラムの指標を組織の目標に結びつけ、さらに目標達成時には指標を変更することは全体の成功にとって非常に重要です。リスクは時間とともに進化し続けるので、私たちの指標はその変化に沿って適応していかなければなりません。脆弱性管理の指標は組織が現在のセキュリティ姿勢を理解するのに役立つよう、明確かつ直接的であるべきです。

このシンプルで効果的なガイダンスの後に続く質問は「次はどうする？」 です。大規模で複雑な組織のプログラムに上記の教訓を導入することは、コミュニケーションから始まります。具体的には、まず、ステークホルダーとプログラムの課題やリスク低減のためのビジョンやアプローチについてコミュニケーションをとることです。組織的なデータと充実した脆弱性管理レポートを活用しつつ、小さな変化から始める必要があります。このような変化を実現するための短期的な例としてITと連携した脆弱性管理プロセスの開発・更新や、簡単な質問に答えるレポート開発などが挙げられます。セキュリティの専門家として真の変化を起こすためには、常に自分自身に責任を持たなければなりません。

脆弱性管理サービスの詳細については当社までお問い合わせください。

（2022年2月8日）

英語版ブログ「Vulnerability Management: We’ve Been Doing It All Wrong」へのリンクはこちら