サイバー攻撃の被害を報じるニュースが日に日に増えるなか、セキュリティ対策への投資拡大を検討する企業が増えてきている。ただ、人手不足を理由に、十分な対策を講じることが叶わないという声も多い。特に深刻なのが、脆弱性の管理である。

IT資産に存在する脆弱性は、サイバー攻撃の対象となる格好の的となる。いかにして脆弱性を適切に管理するかがセキュリティ対策の要となるのだが、数が膨大であるために、人手をかけた “人海戦術” では対応しきれないのが実状だ。

IT人材が不足するなか、脆弱性管理を徹底するにはどんなアプローチが必要か。本稿ではある対談の模様から、このテーマに対する解を紐解いていきたい。対談に登場するのは、数多くのITソリューションを提供するネットワールドのセキュリティソリューション課 柳田 康宏氏と、脆弱性管理に特化したセキュリティ専業ベンダーであるテナブルのセキュリティエンジニア 阿部 淳平氏だ。

[対談レポート]
サイバーセキュリティ対策の最適解とは? 鍵は”脆弱性の管理”にあり
> > 資料ダウンロードはこちら

ネットワールド 柳田 康宏氏(写真左)、テナブル 阿部 淳平氏(写真右)

ネットワールド マーケティング本部ソリューションマーケティング部セキュリティソリューション課主任 柳田 康宏氏(写真左)
テナブル セキュリティエンジニア 阿部 淳平氏(写真右)


脆弱性管理のポイントは、「リスクベースの管理」

脆弱性管理は、脆弱性情報をひたすら収集したり、それを踏まえて社内でどれだけパッチがあたっているのかを調査したりと、単調な作業を繰り返す業務だ。その性質から効率化が進んでおらず、人手をかけた “人海戦術” で運用している企業は少なくない。

柳田氏と阿部氏は対談のなかで、まずは脆弱性を管理するためのツールを導入して今述べた業務を自動化する必要があると言及。これによって、限られた人手を「本来時間をかけるべき領域」に割り当てていくべきだと語った。

脆弱性対策の課題

このツールの導入に際しては、ある視点を持つ必要があるという。それぞれの脆弱性が内包するリスクレベルを可視化して優先度をつけながら対応していく、「リスクベース」という視点だ。以下、対談レポートの中から一部を抜粋したい。

テナブル 阿部氏
世の中に存在する膨大な数の脆弱性リスクには、即時対応が必要なものから、ある程度放置しても問題のないものまで、さまざまなレベルがあります。このレベルを正確に把握し、リスクの高いところから優先的に対処していくことがリスクベースの管理で、脆弱性対策における重要なポイントといえます。
ネットワールド 柳田氏
IT資産の脆弱性は毎日のように発見されており、2020年には約18,000件もの脆弱性情報が出てきています。これだけ数が多いと、セキュリティ担当者が収集した脆弱性情報への対応をIT担当者にお願いしても、「本当に危険な脆弱性なのか?」という部分で納得感が得られなければなかなか動いてはもらえません。リスクベースの観点でコミュニケーションを取り、対策を講じていくことが必要になります。

では、実際にどんなツールを用いれば、リスクベースの管理は実現できるのか。対談では、今日の企業の抱えるセキュリティ課題を細かく紐解くと同時に、リスクベースの管理を実現するためのテナブル製品についても解説している。下のリンクから全文をご覧いただけるため、セキュリティに携わる方は、ぜひ目を通してみてほしい。

ダウンロード資料のご案内

[対談レポート]
サイバーセキュリティ対策の最適解とは? 鍵は”脆弱性の管理”にあり
> > 資料ダウンロードはこちら

[PR]提供:ネットワールド