脆弱性対応の危急性

組織内には、セキュリティの脆弱性の発生元となるITシステムやアプリケーションが多数あり、それらはサイバー攻撃の対象となります。しかし、それら脆弱性を適時に把握し、適切に是正することは容易ではありません。たとえば製造業においては、セキュリティを守るべき3つの対象(ITシステム・OTシステム・製品)があり、いずれも日々セキュリティの脆弱性が発生しています。

ITシステムにおける脆弱性対応は、これまでもソフトウェアへのセキュリティパッチ適用の重要性が認識され、利用しているOSやミドルウエアの種類やバージョンといった構成情報を管理し、それらの脆弱性が発表されると速やかに対応しています。しかし、クラウドや仮想化技術の利用が一般的になるにつれ、オープンソースソフトウェア(以下、OSS)の利用も活発化し、脆弱性対応もより複雑になってきています。

OTシステムは、ITシステムのようにネットワークに接続されることが多くなり、たとえば工場に設置されたOTシステムにおける脆弱性が、全社のITシステムに影響を及ぼすような事案が起きています。OTシステムは資産として棚卸はされていても、セキュリティの脆弱性検知に役立つような、システム内のソフトウェアの構成情報を管理されているケースは少ない状況です。

製品に組み込むソフトウェアの脆弱性は、自組織が開発したソフトウェアと、他者が開発したOSSのようなソフトウェアの両方で発生します。自組織が開発したものは自身で修正が可能であるのに対し、他者が開発したものは、ライセンス形態等にもよりますが修正が期待できないものもあります。

OSSの脆弱性によって引き起こされたインシデントが増加してきたため、米国では大統領令14028で、EUではサイバーレジリエンス法で、ソフトウェアのサプライチェーンにおける保護の法整備が進み、デジタル要素を含む機器の開発者は、使用しているOSSといったソフトウェアの一覧をSBOM(Software Bill of Material)で提供することが求められてきています。

このような状況を受け、企業は、以下に挙げるような基本的な脆弱性対応を、確実に実施することが重要になっています。

  • 脆弱性管理対象となるIT資産などの、構成情報の精度向上
  • 構成情報と、日々公開される脆弱性情報とのタイムリーな突合
  • 検知した脆弱性の対応状況のトラッキングと、確実なクローズ

KPMGの支援

本サービスでは、IT/OTシステムやアプリケーションにおけるセキュリティ脆弱性の発生場所・検出方法を整理し、脆弱性対応のルール・組織・プロセスを脆弱性対応基盤として実装することで、脆弱性対応の高度化を支援します。

【ServiceNowのプラットフォームイメージ】

脆弱性対応基盤は、外部の異なる脆弱性の発生場所・検出方法の違いを吸収し、対応プロセスを可能な限り自動化します。ServiceNowのプラットフォームにおいては以下のようなイメージです。

脆弱性対応高度化支援_1

お問合せ

SecOps(セキュリティ運用)高度化支援
SecOps(セキュリティ運用)高度化支援

ServiceNow社の各モジュールに対するKPMGの知見を通じて、既存のSecOpsの仕組みとの連携や新しい基盤の構築等、SecOps業務の効率化と高度化を支援します。

インシデント対応高度化支援

インシデント対応高度化支援

インシデントの関連プロセスの自動化やPlay Bookの基盤実装により、インシデント対応の迅速化・標準化、運用負荷の削減を支援します。
コンプライアンス基盤構築支援

コンプライアンス基盤構築支援

法令・規制・ガイドラインの要求事項を正規化した統制目的に整理し、効率的に高品位の自己評価/内部監査を行う基盤構築を支援します。
KPMG and ServiceNow

KPMG and ServiceNow

KPMG and ServiceNow

KPMGとServiceNowの協働により、クライアントの業務改革・DXを実現し、ビジネスにおける変化への適応力、柔軟性および競争力の向上を支援します。
ネットワークに結ばれた地球

サイバーセキュリティ

サイバーセキュリティ

多様化するサイバー攻撃に対し、防御から復旧までサイバーセキュリティ対策をトータルに支援し、内部と外部双方の脅威に備えます。