脆弱性の特定と優先順位付けに関するガイド

セキュリティリスクのスキャンと特定は、あらゆる企業のセキュリティ規定に不可欠な要素です。環境にどのような脆弱性が存在するか特定すれば、その脆弱性を修正して企業のリスクプロファイルを削減できます。

Jun 16, 2023

セキュリティリスクのスキャンと特定は、あらゆる企業のセキュリティ規定に不可欠な要素です。ただし、企業が抱えるリスクを特定する前に、企業がどのようなテクノロジーとサービスを使用しているか特定する必要があります。アセットまたはサービスのインベントリがあれば、セキュリティチームはスキャンあるいは侵入テストの実施対象を特定できます。

まず、次の基本的な問いについて考えてみましょう。

あなたの企業はパブリッククラウド環境を使用していますか (AWS、GCP など)。
どのようなベンダーまたはオープンソースの商品およびソフトウェアを使用していますか。
どのオペレーティングシステムを使用していますか。

これらの問い (およびその他多くの問い) に答えると、適切なツールを選択できるようになります。

脆弱性のスキャン

脆弱性スキャナーは自動スキャンを通じて、アプリケーション、インフラストラクチャ、ネットワークなどのコンポーネントに存在する脆弱性の特定を支援するツールです。スキャンによって特定するアセットの潜在的な脆弱性には、CVE が関連付けられているコンポーネント、インターネットで意図せず公開されているファイル、デフォルトの認証情報などの使用があります。スキャナーによっては、スキャンの境界および実行するスキャンの種類の設定を支援する一連のルールをユーザーが設定できる場合もあります。

スキャンの実行には、2 つの主なメソッドがあります。認証スキャンと非認証スキャンです。

認証スキャンでは、環境内を包括的にスキャンします。この方法では、サービスアカウントまたはアセットにインストールされたエージェントを経由して、スキャンに使用するツールに優先アクセス権が付与され、環境に存在する脆弱性を確認します。認証スキャンでは、アセット全体を詳細に調査することで弱い設定や脆弱性を発見できます。

一方、非認証スキャンの場合はスキャン対象のアセットにアクセスするための認証情報は不要です。認証スキャンと比較すると、非認証スキャンではより大まかな発見情報が提供されます。スキャナーが環境を包括的に確認できないためです。これらのスキャンは通常、アセットがもたらす外部のリスクを理解するために、侵入テスト実行者、調査担当者、攻撃者によって行われます。

認証スキャンと非認証スキャンを使用すると、組織は環境内に存在する脆弱性に関する貴重なインサイトを得て、情報に基づく意思決定を下すことでセキュリティ対策を強化できます。

脆弱性スキャンの結果が有益な情報をもたらし、システムに大局的なセキュリティ対策を提供できる一方、侵入テストでは環境に存在するセキュリティリスクを包括的に分析できます。

脆弱性評価について知る

カスタムアプリケーションの構築、クラウドコミュニケーションプラットフォームの提供、ネットワークセキュリティの強化など、組織が対策を実施しているとしても、システムの安全性を確認することは重要です。安全性の確認で最も有益なことの 1 つが、脆弱性の評価と分析です。

Trailhead にアクセスして脆弱性評価についてご覧ください

侵入テスト

環境の脆弱性を特定するための、もう 1 つの効果的なアプローチは、侵入テスト (ペンテスト) を実施することです。このプロセスではセキュリティエンジニアがシステムに対して攻撃を仕掛け、脆弱性と潜在的なエクスプロイトを見つけます。現実的なサイバー攻撃のシナリオを作成するため、ペンテスト実行者は実際の敵対者が用いる戦術、技術、手順 (TTP) をシミュレーションすることもあります。

企業は外部の人材にペンテストを依頼することがよくあります。環境になじみのない人がペンテストを行う方が貴重な結果を得られるからです。

これは外部ペンテストと呼ばれます。しかし、最近では独自の攻撃型セキュリティチームを持ち、内部ペンテストを実施する企業も増えています。内部ペンテストも外部ペンテストも、2 つのユースケースがそれぞれネットワーク内外の攻撃者を対象とするため、非常に有益です。

ペンテストは主に 7 つのステップで構成されています。

攻撃前
予備調査またはオープンソースインテリジェンス (OSINT) の収集
スキャンまたは発見
脆弱性評価 (アクセスの取得)
攻撃 (アクセス維持)
攻撃後、レポート作成、リスク分析
修復

テストが完了すると、発見された脆弱性およびそれらのリスク評価と修復の詳細を含むレポートが作成されます。組織はこのレポートを使用して課題に対応し、環境のセキュリティを向上させることができます。

侵入テストについて知る

侵入テストでは実際の攻撃に対する組織のレジリエンスを評価し、組織の自己防衛を強化するためのレポートが作成されます。侵入テストは組織によるインフラストラクチャ、ネットワーク、アプリケーション、システム、データの保護をサポートする優れた方法です。

Trailhead にアクセスして侵入テストについて詳しくご覧ください

発見内容の優先順位付け

自動スキャンとペンテストを実施して、環境にどのような脆弱性が存在するか特定したら、次のステップとして、脆弱性を修正して企業のリスクプロファイルを削減できます。「脆弱性は何千も存在しているのに、どうすれば優先順位を付けられるのだろう」とお考えかもしれません。幸いなことに、そのような作業をする必要はありません。ツールが示す脆弱性の重要度に着目することもできますが、より効果的なのは、ビジネスに対する脆弱性の影響を元に優先順位を付けることです。そのためにはどのようなサービス、環境、商品がビジネスにとって最も重要であるか特定する必要があります。そのサービスまたは商品は顧客が利用するものでしょうか。顧客データが含まれているでしょうか。ダウンタイムがある場合、重大な収益の損失が発生するでしょうか。

ビジネスへの影響と脆弱性の重要度を組み合わせれば、優先順位を付けた脆弱性のリストを作成し、最も重要度の高い脆弱性とサービスから修復を開始できます。何千もの脆弱性のリストを、数百以下に削減できます。

セキュリティのベストプラクティス
脆弱性のスキャン

Raaghavv Devgon は Salesforce の商品脆弱性対応チームに所属するアソシエート商品セキュリティ脆弱性ハンドラーです。外部の調査担当者や顧客が提出した商品の脆弱性の優先順位付けをサポートします。IBM と KKR で勤務した経験があり、コンピューターサイエンスの修士と CIPT 認証を取得しています。Tyler Waldo は Salesforce の脆弱性対応およびインテリジェンスセンターでシニアマネージャーとして勤務し、増え続ける脆弱性の領域を日々追いかけています。医療業界でキャリアをスタートさせ、北カリフォルニア病院のセキュリティチーム発足をサポートした経験があります。Salesforce では過去 6 年にわたり、脆弱性管理に関連するさまざまな仕事に携わっています。また、ペンシルバニア州立大学で国土安全保障の修士を取得し、CISSP、CCSP、GWAPT などの認証も保持しています。

次の投稿者のブログをさらに表示: Raaghavv Devgon、Tyler Waldo