バグのあるソフトウェアや脆弱なソフトウェアは、組織に大きなリスクをもたらし、大規模なサイバーセキュリティ・イベントを引き起こす可能性があります。
KPMGのサイバーチームの使命の1つは、こうしたインシデントの発生可能性と影響度を軽減し、企業が成長やイノベーションといった自社の目標に集中できるようにすることです。
このような観点から、KPMGのパッチ・脆弱性管理チームは、さまざまな業界の企業との仕事を通じて得られた知見を集約し「評価フレームワーク」を作成しました。本フレームワークでは、6つのハイレベルな能力と、人、プロセス、技術を含む21のローレベルなプロセスを評価することで、業界や他企業と比較したベンチマークを提供します。これらのデータは匿名で管理されているため、KPMGは開発プロセス全体をサポートでき、企業がより多くのサポートを必要としている分野に合わせてサービスを提供することができます。
KPMGが脆弱性管理についてどう考えているか、また、共通の課題に取り組んでいる他の人々の意見を聞く機会を提供するために、評価アプローチの背景を共有したいと思います。
KPMGが評価する6つのハイレベルな脆弱性管理能力は以下のとおりです。
(1)発見
環境内の脆弱性を発見すること。
この能力は、最も一般的に理解されている脆弱性管理の要素に焦点を当てています。では、脆弱性スキャナーの技術的な実装を掘り下げ、スキャンジョブがメンテナンスウィンドウやその他のフリーズに合わせてどう調整されているか、スキャンの幅と深さの両方を考慮しながら、ダイナミックなクライアント環境を完全にカバーすることができるかを理解しようと努めます。
企業が脆弱性スキャン機能のオーナーシップを明確にできるかは、レポーティングなどの他のダウンストリーム機能の役割と責任を明確にする上で重要です。また、パフォーマンス上のメリットとビジネス上のコストとのバランスを考慮して、スキャンエージェントの導入をどのように優先させるかを理解する必要があります。
発見機能は、私たちが評価したほとんどすべての企業にとって、最もスコアの高い分野であることがわかりました。これはさまざまなIT環境の複雑さや利用可能な脆弱性スキャンツールの種類の多さ、それぞれの設定オプションの多さなどが原因と考えられます。
(2)評価
検出された脆弱性の意味を理解する。
すべての企業において、対応可能な量以上の脆弱性が発見されることが多く、優先順位をつける必要があります。スキャンベンダーは、独自の脅威情報データと合わせてCVSSレーティングを活用できるようになりましたが、社内の脅威情報チームからのデータや資産・ネットワークの状況を含めて、これらの優先順位を適切に補強することは難しい場合がほとんどです。
この問題は、CMDBのデータが不完全なため、重要な資産や所有者のデータをプログラムに組み込めないことが原因の1つです。
評価機能は、多くの企業が改善しようと努力していますが、過度に複雑でサポートが行き届いていないことが多いようです。修復のライフサイクルにおけるリスク管理の意思決定プロセスを管理する上で、企業は修復オーナーとのパートナーシップのレベルに差があります。多くの場合、リスクを修正するか、軽減するか、あるいは受け入れるかの決定にはさまざまなグループからの意見が必要で、企業が共通して悩んでいることがわかります。
(3)報告
脆弱性管理データの伝達。
脆弱性管理プログラムの貢献度を示す指標には事欠きませんが、確かなことは、データベースの整合性と柔軟性が重要だということです。調査結果の重複排除、追加データの結合、スナップショットレポート、時系列トレンドのためのタイムスタンプレポートなどに必要なエンジニアリングは、組織に多大な価値をもたらすにもかかわらず、企業にとっては重荷になることがあります(さらに悪いことに、脆弱性のあるビッグデータを扱うために必要なデータサイエンスのスキルセットは、サイバーセキュリティの労働市場では一般的ではありません)。
経営者の視点から見ると、脆弱性対策を理解する上で3つのテーマがあります。
- 我々は見るべき脆弱性を見ているか
- 見ている脆弱性のうち、リスクはどの程度か
- 見ている脆弱性を修正する能力はどの程度あるか、その能力は向上しているか
この3つを指標で表現する方法は多々ありますが、脆弱性管理をこのような言葉で表現するだけで、経営者はチームに適切な行動指示を出したり、投資の意思決定をしやすくなったりします。
(4)修正
検出された脆弱性がもたらすリスクを軽減すること。
修正できるかどうかは実際に問題になるところですが、意外にもこの分野はすべての企業が苦労していることをご存知でしょうか。何百人ものビジネスパートナーと調整し、モチベーションを高めて、意図的に修正することは容易ではありません。修復作業では、大規模なデプロイメントや設定変更を可能にする多くのツールがあるにもかかわらず、発見された脆弱性の50〜75%がパッチ適用によるものであることが予想されます。
一方、修復活動の予測が困難な場合には、プロジェクトとして実行される修復SWATチームを使って、ゼロデイ脆弱性を緩和するための予定外のアドホックな取組みが見られます。いずれの場合も、スキャンデータを取り込み、所有者にマッピングし、修復までの時間を追跡できるチケッティングツールの存在は、リスク低減の成功と密接に関連していることが多く、積極的に投資されています。
(5)統合
組織全体で協力し、脆弱性リスクを低減する。
セキュリティはチームで取り組むものです。脆弱性管理をSOCやペンテストのような他の機能と同一のチームにするかは企業によって異なりますが、KPMGはこれらのチームがどのように配置されていようとも「チーム間のコラボレーションがオペレーショナルエクセレンスにとって最も重要だ」と考えています。パートナーシップから何かが生まれるとすれば、企業がそれぞれのツールの機能と限界について互いに教え合い、誠意を持ってデータを共有することを期待しています。
さらに進んだレベルでは、資産データベース、脅威インテリジェンス、セキュリティオペレーションセンター(SOC)、アプリケーションセキュリティ、ペネトレーションテストなどのデータを組み合わせ、お互いの能力を補い合うことを始めています。たとえば、SOCにとって脆弱性データは、資産の状況に応じてどのような警告が懸念されるかを理解するために有用であり、逆にどのような攻撃が見られているかを理解して脆弱性の優先順位を高めることができます。KPMGのデータによると、この機能全体は一貫してスコアが低く、改善の余地が最も大きいものです。
(6)統治
脆弱性の管理に関する組織の期待値を設定する。
最後に、ガバナンスを通じてビジネスとコンプライアンスに関する期待を管理するプログラムの能力を評価します。これはPCI スキャニング、修復 SLAの設定と遵守、あるいはシステム所有者に修復を優先させるように教育することなど、ポリシー、資金、リソースを通じて経営陣が組織に力を与えることができる部分です。
さらに進んだプログラムでは、他のビジネスグループへのスキャナーアクセスのプロビジョニング管理、脆弱性データが保存されているリポジトリへのアクセス管理、さらには競合する指標の生成を阻止するために所有者に提供するフィールドの管理などを検討し始めているケースも見受けられます。
これらの6つの機能を高いレベルで評価することで、最小限の労力と投資で改善できる最大の機会がどこに存在するかについて、自信を持って方向性を示し共有することができます。
企業は脆弱性管理に積極的に投資し、テクノロジー(ツールの統合、ベンダーの選択、スキャンの自動化)を通じてこれらの分野を改善していますが、人とプロセスの領域ではまだ大きな改善の余地があると言えます。最も基本的なレベルでは、企業自らが発見・評価し、可能な限り修正してから、より支援的な機能に移行することが推奨されますが、経営層はプログラムの特定領域に懸念を抱いているようです。
KPMGはこれら6つの能力に関し、折に触れて企業に確認し、他の組織で成果が出ていることを共有したいと考えています。企業側は「良い状態とはどのようなものか」を詳細に把握した上で、より多くのリスクを持続的かつ早急に削減する方法について適切な判断を下すことができ、その結果、企業が目標を達成したりそれ以上の成果を上げたりする可能性が高まります。
本稿は、KPMGインターナショナルが2020年に発表した「Measuring world-class vulnerability management」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。
全文はこちらから(英文)
Measuring world-class vulnerability management