知っているようで意外と知らない？ “脆弱性管理”の解像度を上げよう

　読者の皆さんは脆弱性管理というと、もしかしたら「脆弱性情報を集め、周知すること」というイメージを持っているかもしれません。このコラムでもよく取り上げる、JPCERTコーディネーションセンター（JPCERT/CC）のJVN脆弱性レポート情報や米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）の「既知の悪用された脆弱性カタログ」（KEV：Known Exploited Vulnerabilities Catalog）を確認するだけでも大変素晴らしいのですが、本書ではその先に何をすべきかをしっかりとまとめています。

　脆弱性情報の内容を把握したら、それが組織にどの程度のリスクを生じさせるかを評価することこそが、システム管理者の重要なタスクです。本書ではその点に関して、単にパッチを適用することだけでなく、発生可能性を低減させる対処を選択したとき、どのようなリスク評価となるかを考えるなど、組織の状況に合わせた対処を考える流れを紹介しています。「パッチはすぐには適用できない」というのはどの現場でも同様です。そこで諦めるのではなく、できることをしたらリスクがどう変化するのかを考えるようにしていきましょう。

●脆弱性管理をするために役立つ教本として

　本書は一言でまとめられがちな「脆弱性管理」を、具体的に解説する大変有用な資料です。無料でダウンロードできるので、特に中小規模の事業者にはありがたい教本として、まずは手元に置いて読んでみることをお勧めします。最近の公開資料と同様、「コラム」も充実しており、読み物としても楽しめる内容です。

　「脆弱性情報を集める」という部分は、まだシニアではないセキュリティエンジニアが最も興味を持つ部分ではないかと思っています。もしそういう方を組織内で育てている最中であれば、ぜひその興味はそのままに、その先に進もうとしたときの次のステップとして、本書をそっと添えておくと良いと感じました（決して「情報収集だけが仕事じゃないぞ！」みたいに大上段にかまえてモチベーションを削がないよう……）。基礎となりつつある「脆弱性管理」の入り口の資料として皆さんの組織でも活用してほしいと思います。

　加えて、本書では「IT資産管理」が“前提”となっている点にも注目しています。これも新たに基礎となりつつある対策だと思っていますが、資産管理をやっていますかと聞けば、やっていない組織はゼロです。しかし、それが指すものが単なる経理上必要な台帳管理でしかない場合も多いでしょう。“正しいIT資産管理”が指すものも、立場により大きく異なると思っています。最近ではIT資産管理を超え「アタックサーフェス管理」という言葉に集約されつつある部分も、今後重要になることは間違いありません。

　システム管理者という立場は、そういったITの世界で飛び交うキーワードを、自分が理解できる業務にブレークダウンし、メンバー全体でその意味を共有しなければなりません。その中には、基礎の基礎となるような地味な作業も含まれます。それこそが、サイバー犯罪者に面倒な組織だと思われるための第一歩です。「脆弱性管理」という言葉の意味が隣の方に説明できる自信がないという方は、ぜひ、本書に目を通してみてください。執筆に携わった皆さんに大きな感謝を！

筆者紹介：宮田健（フリーライター）

＠IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。