近年、ランサムウェアをはじめとするサイバーセキュリティ関連のニュースが話題になっています。このような状況では、自社の脆弱性管理プログラム(VMP)を見直す必要があります。
これらのプログラムは、数十年前からあらゆる業界で導入されています。しかし、企業のインフラが急激に複雑化するにつれ、潜在的な脆弱性を管理することがますます困難になってきました。数年前には効果的なVMPだったかもしれませんが、今では時代遅れとなり、企業を危険にさらしているかもしれません。
最新のVMPは、サイバー攻撃者が企業に損害を与える前に、脆弱性を特定・分類し、修復や緩和するための徹底した継続的プロセスを確立します。効果的なVMPには、以下のようなメカニズムが含まれます。
- 資産情報の欠落、不備、不正確さの検出
- 脅威のカバー率の検討と評価
- リスクの優先順位付け
- 追跡処理または修復
- ガバナンス・リスク・コンプライアンス(GRC)、情報技術サービスマネジメント(ITSM)、サイバープログラムとの統合
- 正確なステータスレポートの作成とトレンドの強調
しかし、最も成熟したサイバー攻撃への対策を取っている企業であっても、真に効果的なVMPを構築できていないことがあります。
本稿では、サイバー攻撃を食い止める可能性を高め、攻撃者が防御を突破した場合の被害を軽減するためのVMPの設計・導入について解説します。
VMPアプローチの見直し
VMPは、インフラの複数の層をカバーし、ソースにかかわらず潜在的な脆弱性を探し出して特定するクリアリングハウスの役割を果たさなければなりません。また、これらの脆弱性が組織にどのような影響を及ぼすか、そして脅威に対処し、修正するために何ができるかについて、助言する役目も担います。
問題は、何百、何千、何百万もの潜在的な未解決の脆弱性がある中で、どのようにして効果的なVMPを構築するのかということです。
まず、VMPを2つのレンズで見てみましょう。
1つ目のレンズは、現在残っている脆弱性のバックログであり、現在のVMPが効果的ではなく、持続可能ではないことを厳しく指摘しています。
2つ目のレンズは、潜在的な脆弱性の未来であり、それらを予測して軽減できるようにVMPをアップグレードすることが求められます。
脆弱性のバックログへの対処は、VMPのアップグレードと同時に行うのがベストです。そのためには、VMチームとITSMチームが、(1)オープンな脆弱性の再優先順位付け、(2)早急な対応が必要な脆弱性の修正措置、(3)バックログと将来の脆弱性への対応のための努力の追跡、などを行う必要があります。
チームの必要性
このような二重のアプローチは、組織のリスクを軽減する一方で、注意を払わなければ、修復を実行するVMチームやITSMチームに負担をかけることになります。そのため、効果的なVMPには、サイバーチーム、ITSMチーム、GRCチームなど、複数の部門の協力と意見が必要であり、場合によっては資格を持った専門家を増員することも考えられます。
ITSMチームは一般的に、修復の取組み(構成の変更、パッチの適用など)を担います。サイバーチームは、さまざまな脆弱性や、今後のパッチや構成上の問題を含む改善策の選択肢に関連して、他チームにコンサルティングや助言のガイダンスを提供することができます。
たとえば、テクノロジーベンダーは、ベンダーによって恒久的な修正プログラムが開発される前に、脆弱性に関連する情報を公開することがよくあります。このような場合、VMチームはITSMとサイバーの各チームに問題を警告することができます。ITSMとサイバーの各チームは、「パッチ&コンフィギュレーション」プロセスを用いて、ベンダーによる修正が行われる前に、これらの脆弱性に対処することができます。これは、VMチームがITSM、サイバー、およびその他のチームが行っている作業を追跡する機会にもなります。
VMチームは一般的に、組織のリスクポジションを明らかにする指標を報告する役割を担っています。VMチームが作成したこれらの報告書は、GRCプログラムとうまく連動するはずです。
VMPのプロセスや手順を開発し、文書化することは重要です。これにより、VMPをより効果的に運用することができ、必要なステークホルダーの協力が得られ、脆弱性やリスクを低減できる可能性が高まります。KPMGは、次のようなアプローチが成功すると考えています。
複数のレイヤーに渡る詳細な評価プロセスの構築
VMPがITスタック内のさまざまなレイヤーをどのように評価するかを定義します。たとえば、ファームウェア、OT/IoT、オペレーティングシステム、ミドルウェア/ERP、データ/データベース、SaaS、クラウド提供サービスなどを対象とします。このプロセスは、テクノロジーの種類やプラットフォームに基づいて、一連の手順として分割する必要があります(例:スキャンの頻度、ウィンドウ、スキャンを実行するための認証/権限)。
対策の必要性についての判断
VMチームは、国家脆弱性データベース(NVD)に掲載されている脆弱性ソースや脅威、あるいは脅威情報プロバイダや他の類似した組織が発する警告を監視します。そして、これらの脅威が資産・ソフトウェア管理システムに与える可能性のある影響を評価し、対策が必要かどうかを判断します。この作業は、組織の評価ツールが脆弱性の検出やスキャンを行う前に実施することができます。
資産の所有権の確立
VMチームは、影響を受ける資産を誰が主に所有しているかを判断し、脆弱性が全体として他のグループに影響を与えているかどうかを検討します。この分析は、VMPが最終的な修復作業を追跡し、正確な報告ができるよう、十分な粒度で行うことが重要です。ITSMチームが改善に責任を持つ一方で、VMチームは調整役を務めます。
修復作業の割り当て
VMチームは、所有権に基づいて、修復作業をITSMチームやその他の適切なチームに割り当てます。割り当てを行った後に、資産の所有権の決定が誤った情報や矛盾した情報に基づいていたことが判明することがありますが、その場合、修復作業は正しいチームに再割り当てされ、更新された情報が資産管理システムに入力されなければなりません。
成功を確実にするための重要なプロセスの定義
脆弱性を見直し、潜在的な脅威のレベルを決定し、リスクごとに優先順位をつけた後、VMチームは適切な担当者と相談しながら、必要に応じてステークホルダーが要求する以下のアクションを実施します。
- 修復
構成変更やベンダーが提供するソフトウェアのパッチ適用など、脆弱性が存在しないように、ITSMチームが修正します。 - 延期
担当チームは、さらなる調査のための時間を要求し、是正措置を講じることができます。ただし、組織の合意について、影響が生じる可能性があることに注意してください。
下記のような、例外的な対応を要求することができます。これは、その脆弱性が標準的な「パッチと設定」による対策では緩和できず、存在し続けることを意味します。
– 資格と権限を持つ者の例外的な署名や、対策を行わない場合に想定されるリスクに関して定義されたプロセス
– システムの脆弱性への悪用を制限するために、代償となるコントロールを導入する取組み
– 定期的に状況を見直すための時間枠
– 割り当てられたグループが、VMチームまたはVMとITSM各チームの担当者で構成された「脆弱性特別」チームに相談を申し込むことができるエスカレーションプロセス
「修復」の成功の確認
VMチームは、修復作業が成功したかどうか、また今後も持続されるかどうかを定期的に確認する必要があります。これにより、作業が完了したことを確認し、VMPが実行されたアクションの成功を追跡することができます。
トレンドの追跡と結果報告
VMPの運用効果に関する指標を得ることができます。また、主要なリスク指標や長期的なトレンドを把握することもできます。指標は、簡単に収集、かつ繰り返し計算ができ、自動化されている必要があります。
手遅れになる前に(あるいは、サイバー攻撃の被害に遭う前に)
組織がサイバー攻撃を受けるかどうかは、もはや「必ず」ではなく「いつ」なのです。企業のインフラは複雑化し、保護されていない領域が増え、サイバー犯罪者の手口も巧妙化しています。そのため、数年前に導入したVMPでは、現在の企業を守ることはできないでしょう。
現在のVMPを見直し、強化や刷新のための対策を早急に講じることで、企業の安全性は高まります。
KPMGでは、サイバー攻撃から組織を守り、またサイバー犯罪者が防御を突破した場合にも被害を最小限に抑えることができる、最新のVMPを設計・導入するためのプロセスを提供しています。
【KPMGの支援】
本稿は、KPMGインターナショナルが2021年に発表した「Building a vulnerability management program」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
Building a vulnerability management program