脆弱性管理とは

脆弱性管理は、サイバー攻撃やセキュリティ侵害のリスクを軽減するために、デバイス、ネットワーク、アプリケーションのセキュリティ上の欠陥を特定、評価、修復する IT セキュリティプラクティスです。

セキュリティの専門家は、脆弱性管理はセキュリティ自動化の重要な要素であると考えています。米国国立科学研究所 (NIST) が情報セキュリティ継続的監視 (ISCM) を定義していますが、そこでは脆弱性管理は必須の機能とされています。 

脆弱性は、セキュリティ研究者や IT ベンダーが特定した欠陥をカタログ化するためにセキュリティ業界で使用されるシステムである Common Vulnerabilities and Exposures (CVE) として追跡されます。新しい CVE は常に発生するため、脆弱性管理は継続的なプロセスです。脆弱性管理プログラムは、セキュリティチームが脆弱性のスキャンやパッチ適用などの検出および修復プロセスを自動化するのに役立ちます。

脆弱性管理の目的は、サイバー攻撃のリスクを軽減し、IT インフラストラクチャを保護することです。これらのプロセスを通じて、悪用され得るセキュリティ上の問題や設定ミスを特定して削除し、ソフトウェアパッチを維持し、悪用された脆弱性による攻撃を検出して緩和することにより、組織の攻撃対象領域を削減することができます。エンドポイントデバイスからサーバー、ネットワーク、クラウド資産に至るまで、あらゆるものに適切にパッチを適用し、あらゆるものを適切に設定することができます。

脆弱性管理は、次の 5 つのワークフローが重なり合ったものと考えることができます。 

• 発見：組織の IT 資産に既知の脆弱性や潜在的な脆弱性がないか確認します。
• 分類と優先順位付け：特定された脆弱性を分類し、重大度と実際のリスクのレベルに基づいて優先順位を付けます (たとえば、インターネットに接続されている場合にのみ悪用され得る非常に重大な脆弱性には、そのデバイスがインターネットに接続されない限りリスクはありません)。 
• 解決：修復 (脆弱性に完全に対処する)、緩和 (悪用を困難にするか、その影響を軽減する)、または受け入れ (リスクスコアが低い脆弱性を未対処のままにする) によって、脆弱性を解決します。
• 再評価：新たに評価を実施して、以前の取り組みが機能し、新たな脆弱性が生じていないことを確認します。
• レポート作成：脆弱性管理のベースライン指標を確立し、パフォーマンスを長期的に監視します。

脆弱性管理は、情報セキュリティのコンポーネントとして同じ機能をサポートします。NIST が確立したサイバーセキュリティ・フレームワークでは、これらの機能には次のものが含まれます。

• 特定：システム、人、資産、データ、機能を理解します。
• 保護：潜在的なサイバーセキュリティ・イベントの影響を制限または阻止することができます。 
• 検出：サイバーセキュリティ・イベントをタイムリーに検出できるようにします。
• 対応：サイバーセキュリティ・インシデントが検出された場合、適切な措置を講じます。
• 回復：回復を計画し、インシデントによって損なわれた機能やサービスを復元します。

IT セキュリティの脆弱性は、CVE リストによってカタログ化され追跡されます。CVE リストは、米国国土安全保障省の一機関であるサイバーセキュリティおよびインフラストラクチャ・セキュリティ庁 (CISA) からの資金援助を受けて MITRE 社が監督する業界リソースです。セキュリティ上の欠陥は、研究者、ベンダー、オープンソース・コミュニティのメンバーによって提出され、CVE エントリーとなります。

CVE エントリーでは概要が把握できますが、セキュリティ担当者は、それに加えて米国国家脆弱性データベース (NVD)、CERT/CC 脆弱性ノートデータベース、そしてベンダーが管理する製品固有のリストのような他のソースから、脆弱性に関する技術的な詳細を見つけることができます。

これらの異なるシステムにおいて、ユーザーは CVE ID によって確実に固有の脆弱性を認識し、セキュリティツールおよびソリューションの開発を調整することができます。

Common Vulnerability Scoring System (CVSS) は、CVE にスコアを付けるための業界標準です。これは、潜在的な攻撃がリモートから実行できるかどうか、その攻撃の複雑性、ユーザーによるアクションが必要かどうかなど、脆弱性に関連する一連の要素を考慮する計算式を適用します。CVSS は、各 CVE に 0 (影響なし) から 10 (影響が最も大きい) の範囲で基本スコアを割り当てます。

このスコアだけではリスクを包括的に評価できません。他の 2 種類の評価 (現状評価と環境評価) によって、CVSS 分析をより完全なものにすることができます。現状評価では、現在の悪用の手法、脆弱性を利用した攻撃の存在、または欠陥に対するパッチや回避策の利用可能性に関する詳細が追加されます。環境評価では、攻撃が成功した場合の影響や攻撃が成功する確率が変化する可能性があるエンドユーザーの環境に存在し得るミッションクリティカルなデータ、システム、または制御に関する組織固有の詳細が追加されます。

ベンダーや研究者は、CVSS スコアに加えて他の尺度を使用できます。たとえば、Red Hat 製品セキュリティでは、ユーザーによるセキュリティ上の問題の評価に役立つ 4 段階の重大度スケールを使用しています。その評価は以下のとおりです。

• 重大な影響：認証されていないリモートの攻撃者が容易に悪用し、ユーザーの介入なくシステム侵害につながる可能性のある欠陥。 
• 重要な影響：リソースの機密性、健全性、または可用性を容易に損なう可能性のある欠陥。
• 中程度の影響：悪用は困難だが、特定の状況下ではリソースの機密性、健全性、または可用性がある程度侵害される可能性のある欠陥。
• 低影響：セキュリティに影響を与える可能性のあるその他すべての問題 (悪用するには起こりそうもない状況が必要であると考えられる問題や、悪用が成功しても影響が最小限に抑えられる問題など)。

脆弱性の数が増加し、企業はセキュリティ対策により多くの人員とリソースを充てており、作業に最適な優先順位を付けることが重要になっています。脆弱性管理プログラムにおいて広範かつ不正確なリスクデータを使用すると、一部の脆弱性の優先順位が高すぎたり低すぎたりすることがあり、重大な問題が長期間にわたって対処されないリスクが高まります。

リスクベースの脆弱性管理 (RBVM) は、特定の組織に対する脅威リスクに基づいてアクションの優先順位を付けることを目的とした新しいアプローチです。RBVM は、脅威インテリジェンス、悪用の可能性、影響を受ける資産のビジネス上の重要性など、関係者固有の脆弱性データを考慮します。より正確なリスクスコアを作成するために人工知能および機械学習機能を組み込むことができます。RBVM は、自動化された継続的な脆弱性スキャンにより、脆弱性をリアルタイムで監視することも目的としています。

脆弱性評価は、セキュリティ上の欠陥を特定するために IT システムのセキュリティ対策を調査することです。これには、システムとそのリソースに関するデータの収集、既知の脆弱性のチェック、結果を迅速に分類して改善方法を特定するレポート作成などが含まれます。脆弱性評価は、セキュリティ上の問題をチェックするために行う、すべてのインフラストラクチャの内部監査とスキャンのようなものと考えることができます。脆弱性評価は通常のプロセスの中で定期的に行われる場合もありますが、基本的には結論が出たところで、つまり、ある時点のスナップショットを表すレポートを作成して終了とされる一度限りの作業です。

これとは対照的に、脆弱性管理は自動化され、絶えず実行される継続的な取り組みです。脆弱性管理の機能は継続的で重なり合っており、連続します。これにより、重大な脆弱性に対処するための対応が早期かつ迅速に行われるため、セキュリティが向上します。

Red Hat は、オープンソースソフトウェアのリーダーとして、お客様とコミュニティに対する透明性と説明責任を大切にしています。Red Hat は脆弱性について頻繁にコミュニケーションを取っており、2022 年には CVE プログラム内のルート組織になりました。

また、Red Hat は、組織がクラウドネイティブ・アプリケーションをより安全に構築、デプロイ、実行できるよう支援します。Red Hat Advanced Cluster Security for Kubernetes を使用して、Kubernetes 環境の脆弱性をより効果的に検出し管理する方法をご覧ください。