1. はじめに

企業のセキュリティ対策を論じる上で、IT資産の適切な脆弱性管理は外せない要素となっており、なんらかの形で脆弱性管理に取り組まれている企業はかなり増えている印象です。一方で、最近当社が相談を受けるケースの多くは、構成情報と脆弱性情報をそれぞれ人手によって収集し、それらを突き合わせて脆弱性の有無を判定する方式（これを副題で「情報突合方式」と呼んでいます）で行っており、工数がかかり過ぎているというものです。事実、CVE ID^※1が付与される脆弱性の数は10年前の2012年に約5,000だったのに対し、昨年は約20,000と約4倍に増加しており^※2、人手による管理は限界を迎えているように思われます。

このコラムでは、弊社で取り扱っている脆弱性管理ツールで、情報突合方式の課題をどのように解決可能であるか、一つのケースとして例示してみたいと思います。

2. 脆弱性管理の実態と課題

まず、情報突合方式で脆弱性管理を行っている現場の一例を挙げ、どのような課題が潜んでいるのか明らかにしてみましょう。

図1は、架空の組織の脆弱性管理プロセスを示したもので、以下のような体制・フローで行っているとします。

図1：脆弱性管理プロセスの一例

このようなプロセスにおける課題として以下のようなものが考えられます。

3. 脆弱性管理ツールTenable.ioによる自動化

上記で挙げた課題の大部分は脆弱性管理ツールによる自動化で解消または大きく緩和することが可能です。本稿では、当社で取り扱っているTenable.ioを使用する例を挙げ、どのように脆弱性管理プロセスが改善されるか、見ていきましょう。

3.1. Tenable.ioとは

Tenable.ioは米国Tenable社が開発する、統合脆弱性管理プラットフォームです。PC、サーバ、NW機器などに存在する脆弱性をスキャンし、統合的に管理するツールで、以下の特徴を持っています。

3.2. Tenable.ioによる脆弱性管理プロセスの自動化

先に例示した環境にTenable.ioを導入した場合のイメージを図2に示します。

図2：Tenable.ioによる自動化後の脆弱性管理プロセス

構成情報や脆弱性情報はTenable.ioが自動的に収集し、IT資産に対する脆弱性スキャンを実施します。情報セキュリティ担当は脆弱性管理状況の把握、ポリシーの改善に注力することができます。また、システム担当は煩雑な構成情報と脆弱性情報の突合から解放され、前述のVPR機能を併用することにより、高リスクの脆弱性の修正作業に集中することができます。前章で示した脆弱性管理プロセスは以下のように改善されます。

4. おわりに

脆弱性の急激な増加に伴って、人手による作業を極力排した効率的な脆弱性管理が求められています。今回は脆弱性管理プロセスにおける課題と、Tenable.ioによる自動化例についてご紹介しました。当社では、統合脆弱性管理プラットフォームとしてTenable.ioの他にQualysGuardも取り扱っており、ご要件により適切な製品と導入形態をご提案しております。また、付帯サービスとして、製品の導入支援、ServiceNowとの連携による資産管理・構成管理との融合のご支援、GRCS社のCSIRT MT.mssとの連携による修正作業のシステム化のご支援などのご用意もございます。日々の脆弱性管理に悩まされている皆さまからのお問い合わせをお待ちしております。