このHelp Net Securityの動画で、AsimilyのCEOであるShankar Somasundaram氏が、リスクベースの脆弱性管理プログラムの構築方法を解説しています。同氏は、AI主導の攻撃が広がる時代に、脆弱性が桁違いの勢いで増加していると指摘します。ある顧客では、把握していた1件の脆弱性に対して、実際には1,000件の脆弱性が見つかったといいます。
すべてにパッチを当てる運用は現実的ではなく、CVSSスコアに頼る方法も機能しにくい状況です。公開されるCVEの3分の2が高リスクに分類されているためです。Shankar氏は、より適切なアプローチを示します。まず、デバイス、アプリケーション、サービス、そしてデータフローを含む資産の棚卸しを徹底します。次に攻撃経路をマッピングし、自社環境で本当に到達可能な脆弱性がどれかを見極めます。そのうえで、悪用可能性のデータ、KEV、EPSS、事業への影響を重ね合わせ、対応すべき対象を絞り込みます。
対策としては、パッチ適用に加え、NACやファイアウォールを用いた仮想パッチ、さらにセグメンテーションによって被害範囲(blast radius)を縮小する方法を取り上げています。最後に、構成スナップショットを推奨し、チームが設定のドリフトを検知して、同じ作業を繰り返さずに済むようにするべきだとまとめています。
ダウンロード: Automating Pentest Delivery Guide
翻訳元: https://www.helpnetsecurity.com/2026/05/29/risk-based-vulnerability-management-video/
ソース: helpnetsecurity.com
