TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

#Infosec2025: 成熟した脆弱性管理プログラムを構築するための7つのステップ

過去2年間、サイバーセキュリティチームはソフトウェアおよびハードウェア製品における公に報告される脆弱性の爆発的増加に直面しており、パッチ管理の優先順位付けはますます困難になっています。

Infosecurity Europe 2025で講演したAxoniusのシニア・セールスエンジニアであるジョン・リドヤード氏は、成熟した脆弱性管理プロセスを構築し、燃え尽き(バーンアウト)を避けるための7つのベストプラクティスを提案しました。

1. プロセス:CTEMの概念を取り入れる

リドヤード氏によると、脆弱性管理は「プログラム」として捉えるべきではありません。というのも、その表現は、プログラムの目標が達成された時点で終了日をもってクローズすることを示唆してしまうからです。

代わりに同氏は、継続的脅威エクスポージャー監視(CTEM)の要素を脆弱性管理プロセスに統合する重要性を強調しました。

これは、脆弱性管理チームが継続的なプロセスを確保し、侵害シミュレーション、攻撃経路分析、自動テストによって定期的に評価する必要があることを意味します。

「たとえばスキャン後に、いわゆる“有名な”共通脆弱性識別子(CVE)や、単発でサイロ化した出来事に反応するだけであってはならないのです」とリドヤード氏は説明しました。

2. 優先順位付け:技術スコアを超えて考える

脆弱性管理担当者にとって有用ではあるものの、リドヤード氏は、共通脆弱性評価システム(CVSS)などの技術スコアは文脈が欠けているため不完全だと述べました。

「CVSSスコアは、あなたのセキュリティ状況を理解しません。事業に固有のリスクベクトルを考慮せず、何が最重要資産(クラウンジュエル)かも分かりません」と同氏は述べました。さらに「技術スコアは、利害関係者に説明するのも難しい」と付け加えました。

同氏は、次の3つのデータカテゴリに応じて、リスクの優先度(例:緊急、高、中、低、適用除外)を段階化した、企業固有の脆弱性・パッチ管理マトリクスを作成することを推奨しました。

  • セキュリティ文脈:CVEエントリおよびCVSSスコア
  • 資産文脈:本番環境(オンプレミス、エンドポイント上、クラウド環境など)、エンドポイント保護の状況、公的な悪用の有無といった観点を含む
  • ビジネス文脈:悪用が起きた場合のより広範な事業インパクトを考慮する

3. トリアージの負荷軽減:動員前のステップを自動化する

実務担当者が修復の拠り所となるマトリクスを確立した後も、検出された脆弱性をトリアージし、優先順位を付ける必要があります。

このプロセスを容易にするため、リドヤード氏は手動のトリアージ手法と自動化の組み合わせを推奨しました。自動化は、同氏が「脆弱性に関する明白な情報」と呼ぶものを収集するために利用できます。これには、該当する場合のCVE識別子に加え、CVSSおよびExploit Prediction Scoring System(EPSS)のスコアが含まれます。

4. 修復:解決を自動化するためのロジックを追加する

同様にリドヤード氏は、脆弱性の修正や、代替的(補償的)または緩和的コントロールの適用など、修復プロセスの一部を自動化することを提案しました。

「修復はアナログのスイッチではありません。自動化が可能なときに判断し、実行に移すためのロジックを作りましょう」と同氏は付け加えました。

5. 動員:協働を形式化し、ゲーム化する

脆弱性管理は組織内の複数チームにまたがる人々が関与し得るため、リドヤード氏は協働を形式化し、誰が何に責任を持つのかという明確なルールを定めるべきだと主張しました。

同氏は、たとえば友好的な競争という形でパッチ管理をゲーム化してみることが、協働を促す良い方法だと提案しました。「こうすることで、面倒な作業――脆弱性の修復――を楽しい活動に変えられます」と同氏は説明しました。

6. 指標:期待値を設定し、伝える

健全な脆弱性管理プロセスを確立するうえでのもう一つの重要要素は、セキュリティチームに割り当てられた予算に基づき、取締役会および事業全体と、保護レベル合意(PLA)の形で期待値を設定することです。

「たとえば、あるカテゴリの脆弱性を7日以内にパッチ適用することに合意するために1万ドルの予算を与えられたとします。それより長引けば、私はPLAを満たせなかったことになり、その結果として何か悪いことが起きた場合、責任を問われ得ます」とリドヤード氏は述べました。

7. ウェルビーイング:セキュリティ実務者を力づけ、楽しませる

最後にリドヤード氏は、セキュリティチームのメンバーが意義のある仕事をしていると感じられるよう、彼らに権限を与える必要性を強調しました。

「先回りして行動し、創造性を促しましょう」と同氏は結びました。

翻訳元: https://www.infosecurity-magazine.com/news/infosec2025-seven-steps/

ソース: infosecurity-magazine.com
#CTEM(継続的脅威露出モニタリング) #CVE #CVSS #EPSS #Infosecurity Europe 2025 #セキュリティ運用(SecOps) #パッチ管理 #リスク優先順位付け #脆弱性管理 #自動化(トリアージ/修復)

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新