脆弱性管理とは

脆弱性管理は、サイバー攻撃やセキュリティ侵害のリスクを軽減するために、デバイス、ネットワーク、アプリケーションのセキュリティ上の欠陥を特定、評価、修復する IT セキュリティプラクティスです。

セキュリティの専門家は、脆弱性管理はセキュリティ自動化の重要な要素であると考えています。米国国立科学研究所 (NIST) が情報セキュリティ継続的監視 (ISCM) を定義していますが、そこでは脆弱性管理は必須の機能とされています。 

脆弱性は、セキュリティ研究者や IT ベンダーが特定した欠陥をカタログ化するためにセキュリティ業界で使用されるシステムである Common Vulnerabilities and Exposures (CVE) として追跡されます。新しい CVE は常に発生するため、脆弱性管理は継続的なプロセスです。脆弱性管理プログラムは、セキュリティチームが脆弱性のスキャンやパッチ適用などの検出および修復プロセスを自動化するのに役立ちます。

IT セキュリティの脆弱性は、CVE リストによってカタログ化され追跡されます。CVE リストは、米国国土安全保障省の一機関であるサイバーセキュリティおよびインフラストラクチャ・セキュリティ庁 (CISA) からの資金援助を受けて MITRE 社が監督する業界リソースです。セキュリティ上の欠陥は、研究者、ベンダー、オープンソース・コミュニティのメンバーによって提出され、CVE エントリーとなります。

CVE エントリーでは概要が把握できますが、セキュリティ担当者は、それに加えて米国国家脆弱性データベース (NVD)、CERT/CC 脆弱性ノートデータベース、そしてベンダーが管理する製品固有のリストのような他のソースから、脆弱性に関する技術的な詳細を見つけることができます。

これらの異なるシステムにおいて、ユーザーは CVE ID によって確実に固有の脆弱性を認識し、セキュリティツールおよびソリューションの開発を調整することができます。

Common Vulnerability Scoring System (CVSS) は、CVE にスコアを付けるための業界標準です。これは、潜在的な攻撃がリモートから実行できるかどうか、その攻撃の複雑性、ユーザーによるアクションが必要かどうかなど、脆弱性に関連する一連の要素を考慮する計算式を適用します。CVSS は、各 CVE に 0 (影響なし) から 10 (影響が最も大きい) の範囲で基本スコアを割り当てます。

このスコアだけではリスクを包括的に評価できません。他の 2 種類の評価 (現状評価と環境評価) によって、CVSS 分析をより完全なものにすることができます。現状評価では、現在の悪用の手法、脆弱性を利用した攻撃の存在、または欠陥に対するパッチや回避策の利用可能性に関する詳細が追加されます。環境評価では、攻撃が成功した場合の影響や攻撃が成功する確率が変化する可能性があるエンドユーザーの環境に存在し得るミッションクリティカルなデータ、システム、または制御に関する組織固有の詳細が追加されます。

ベンダーや研究者は、CVSS スコアに加えて他の尺度を使用できます。たとえば、Red Hat 製品セキュリティでは、ユーザーによるセキュリティ上の問題の評価に役立つ 4 段階の重大度スケールを使用しています。その評価は以下のとおりです。

• 重大な影響：認証されていないリモートの攻撃者が容易に悪用し、ユーザーの介入なくシステム侵害につながる可能性のある欠陥。 
• 重要な影響：リソースの機密性、健全性、または可用性を容易に損なう可能性のある欠陥。
• 中程度の影響：悪用は困難だが、特定の状況下ではリソースの機密性、健全性、または可用性がある程度侵害される可能性のある欠陥。
• 低影響：セキュリティに影響を与える可能性のあるその他すべての問題 (悪用するには起こりそうもない状況が必要であると考えられる問題や、悪用が成功しても影響が最小限に抑えられる問題など)。

脆弱性の数が増加し、企業はセキュリティ対策により多くの人員とリソースを充てており、作業に最適な優先順位を付けることが重要になっています。脆弱性管理プログラムにおいて広範かつ不正確なリスクデータを使用すると、一部の脆弱性の優先順位が高すぎたり低すぎたりすることがあり、重大な問題が長期間にわたって対処されないリスクが高まります。

リスクベースの脆弱性管理 (RBVM) は、特定の組織に対する脅威リスクに基づいてアクションの優先順位を付けることを目的とした新しいアプローチです。RBVM は、脅威インテリジェンス、悪用の可能性、影響を受ける資産のビジネス上の重要性など、関係者固有の脆弱性データを考慮します。より正確なリスクスコアを作成するために人工知能および機械学習機能を組み込むことができます。RBVM は、自動化された継続的な脆弱性スキャンにより、脆弱性をリアルタイムで監視することも目的としています。

脆弱性評価は、セキュリティ上の欠陥を特定するために IT システムのセキュリティ対策を調査することです。これには、システムとそのリソースに関するデータの収集、既知の脆弱性のチェック、結果を迅速に分類して改善方法を特定するレポート作成などが含まれます。脆弱性評価は、セキュリティ上の問題をチェックするために行う、すべてのインフラストラクチャの内部監査とスキャンのようなものと考えることができます。脆弱性評価は通常のプロセスの中で定期的に行われる場合もありますが、基本的には結論が出たところで、つまり、ある時点のスナップショットを表すレポートを作成して終了とされる一度限りの作業です。

これとは対照的に、脆弱性管理は自動化され、絶えず実行される継続的な取り組みです。脆弱性管理の機能は継続的で重なり合っており、連続します。これにより、重大な脆弱性に対処するための対応が早期かつ迅速に行われるため、セキュリティが向上します。

Red Hat は、オープンソースソフトウェアのリーダーとして、お客様とコミュニティに対する透明性と説明責任を大切にしています。Red Hat は脆弱性について頻繁にコミュニケーションを取っており、2022 年には CVE プログラム内のルート組織になりました。

また、Red Hat は、組織がクラウドネイティブ・アプリケーションをより安全に構築、デプロイ、実行できるよう支援します。Red Hat Advanced Cluster Security for Kubernetes を使用して、Kubernetes 環境の脆弱性をより効果的に検出し管理する方法をご覧ください。