TokyoBlackHatNews

csoonline.com 5分で読了

脆弱性監視サービスが公共部門ウェブサイトをより迅速に保護

英国6,000の公共機関全体でDNS固有の修正時間を84%削減

自動スキャンシステムは、公共部門のITシステム全体のサイバーセキュリティ脆弱性の修正に要する時間を削減し、一般的なサイバー脆弱性の中央値の修復時間を53日から32日に短縮し、DNS固有の平均修正時間を50日から8日に削減しました。

これらの成果は、英国政府が新たに立ち上げた脆弱性監視サービス(VMS)から生まれました。医師の事務所から救急車信託、病院、法律援助庁まで、6,000を超える公共機関を継続的にスキャンし、特定されたすべての弱点が解決されるまで追跡します。政府によると、このサービスは約1,000種類の脆弱性を検出し、月に約400の確認済み知見を処理しています。

「サイバー攻撃は抽象的な脅威ではなく、国民医療サービスの予約を遅延させ、重要なサービスを中断させ、人々の最も機密性の高いデータを危険にさらします」と、デジタル政府担当英国大臣イアン・マーレイは、年次政府サイバーセキュリティ・デジタル回復力会議で成果を発表した声明で述べました。「公共サービスが苦しむと、その影響を受けるのは家族、患者、最前線の労働者です。」

マーレイはまた、2億1,000万ポンド(2億6,600万ドル)のサイバー行動計画と、初の政府サイバープロフェッション(公共サービス全体でセキュリティ人材を採用、訓練、保持するプログラム)の立ち上げを発表しました。

好意的な比較

Forresterの副社長主任アナリスト、ポール・マッケイは、これらの数字は民間部門のベンチマークと比較して好意的であると述べました。

「これらの中央値修正時間は、一般的に脆弱性管理ベンダーがベンチマーク研究で発表する数字よりも優れており、脆弱性の重要度と他の組織で悪用されることが知られているかどうかに応じて、平均修正時間が数週間から数ヶ月の範囲で異なります」とマッケイ氏は述べました。

ほとんどの組織における大きな問題は検出速度ではなくコミュニケーションだとマッケイ氏は述べました。特定の知見がなぜ重要なのかを説明できないセキュリティチームは、脆弱性が未解決のまま積み重なる傾向があります。「多くのセキュリティチームはこれを実行するのに苦労しており、数千の脆弱性のリストで技術チームに圧倒され、それらを修正するための非現実的なSLAタイムフレームがあります」と彼は述べました。

平均とベストインクラスのパフォーマンスの間のギャップは1つのことに帰着すると彼は付け加えました:「脆弱性が事業への影響の観点からなぜ重要なのかを明確に説明し、理論的ではなく実際のリスク暴露を示す能力です。」

そのコミュニケーションの明確さは、組織が配備するツールよりも重要であるとマッケイ氏は述べました。

英国政府のVMSは、インターネットに面したアセットの脆弱性を検出するために、商用ツールと独自スキャンツールの組み合わせを使用しています。

しかし、マッケイ氏は結果から誤った結論を引き出すことに対して警告しています。

「プロセス、説明責任、およびビジネスの回復力にこれがなぜ重要かを説明するための所有権の取得は、技術的なツールよりもはるかに重要です」と彼は述べました。「堅牢な優先順位付けアプローチを構築し、パッチ適用と修正の作業を担当するピアステークホルダーとの強い信頼関係を構築することは、選択された特定のツールよりもはるかに重要です。」

英国のVMSは、生の脆弱性フィードを生成するのではなく、各知見について「具体的で実行可能なガイダンス」で責任ある組織に警告し、問題が解決されるまで進捗状況を追跡します。

政府はDNS脆弱性を具体例として挙げています。VMS前は、政府DNS記録の弱点はほぼ2ヶ月間検出されないままでした。このサービスはその期間を8日間に短縮しました。

声明は、サービスが追加の脆弱性カテゴリをカバーするために拡張され、成熟するにつれて修正時間がさらに低下することが予想されることを追加しました。

しかし、英国の国家監査局(NAO)は、VMS単独では修正できない課題にフラグを立てました。

労働力の課題

VMS成功のニュースは、NAOがサイバー脅威が「深刻で急速に進んでいる」と報告してから1ヶ月後に来ました。回復力レベルが以前の予想よりも低いと結論付け、政府が独自の2025年サイバー回復力目標を達成しないと決定しました。それはスキルギャップを持続的なサイバー回復力を構築する単一の最大リスクとして特定しました。

政府は、新しいサイバープロフェッションはこれらの知見への直接的な対応であると述べました。国家サイバーセキュリティセンター(NCSC)と科学・イノベーション・技術部(DSIT)と共同ブランド化され、「専用サイバーリソーシングハブ、政府サイバーアカデミー、見習いスキーム、および構造化されたキャリアパス」をUKサイバーセキュリティ評議会の基準に合わせて確立します。マンチェスターはプライマリハブとして機能すると声明は付け加えました。

「政府サイバープロフェッションの立ち上げは、英国をオンラインで安全に保つために必要なトップティアのスキルを持つ最も才能のあるプロフェッショナルを引き付け、保持するのに役立ちます」とNCSC CEOのリチャード・ホーン氏は声明で述べました。

DSITは、出版時にVMSに関する追加の技術詳細の要求に応じませんでした。

翻訳元: https://www.csoonline.com/article/4139509/vulnerability-monitoring-service-secures-public-sector-websites-faster.html

ソース: csoonline.com
#DNS脆弱性 #サイバーセキュリティ #サイバー回復力 #スキルギャップ #人材育成 #修復時間短縮 #公共部門 #脆弱性監視サービス #脆弱性管理 #英国政府

関連記事

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く

トランプ大統領、撤回したAI大統領令の一部をサイバーセキュリティ重視の指令として復活