知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう
ITmedia エンタープライズ / 2024年11月5日 7時15分
読者の皆さんは脆弱性管理というと、もしかしたら「脆弱性情報を集め、周知すること」というイメージを持っているかもしれません。このコラムでもよく取り上げる、JPCERTコーディネーションセンター(JPCERT/CC)のJVN脆弱性レポート情報や米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)を確認するだけでも大変素晴らしいのですが、本書ではその先に何をすべきかをしっかりとまとめています。
脆弱性情報の内容を把握したら、それが組織にどの程度のリスクを生じさせるかを評価することこそが、システム管理者の重要なタスクです。本書ではその点に関して、単にパッチを適用することだけでなく、発生可能性を低減させる対処を選択したとき、どのようなリスク評価となるかを考えるなど、組織の状況に合わせた対処を考える流れを紹介しています。「パッチはすぐには適用できない」というのはどの現場でも同様です。そこで諦めるのではなく、できることをしたらリスクがどう変化するのかを考えるようにしていきましょう。
●脆弱性管理をするために役立つ教本として
本書は一言でまとめられがちな「脆弱性管理」を、具体的に解説する大変有用な資料です。無料でダウンロードできるので、特に中小規模の事業者にはありがたい教本として、まずは手元に置いて読んでみることをお勧めします。最近の公開資料と同様、「コラム」も充実しており、読み物としても楽しめる内容です。
「脆弱性情報を集める」という部分は、まだシニアではないセキュリティエンジニアが最も興味を持つ部分ではないかと思っています。もしそういう方を組織内で育てている最中であれば、ぜひその興味はそのままに、その先に進もうとしたときの次のステップとして、本書をそっと添えておくと良いと感じました(決して「情報収集だけが仕事じゃないぞ!」みたいに大上段にかまえてモチベーションを削がないよう……)。基礎となりつつある「脆弱性管理」の入り口の資料として皆さんの組織でも活用してほしいと思います。
加えて、本書では「IT資産管理」が“前提”となっている点にも注目しています。これも新たに基礎となりつつある対策だと思っていますが、資産管理をやっていますかと聞けば、やっていない組織はゼロです。しかし、それが指すものが単なる経理上必要な台帳管理でしかない場合も多いでしょう。“正しいIT資産管理”が指すものも、立場により大きく異なると思っています。最近ではIT資産管理を超え「アタックサーフェス管理」という言葉に集約されつつある部分も、今後重要になることは間違いありません。
システム管理者という立場は、そういったITの世界で飛び交うキーワードを、自分が理解できる業務にブレークダウンし、メンバー全体でその意味を共有しなければなりません。その中には、基礎の基礎となるような地味な作業も含まれます。それこそが、サイバー犯罪者に面倒な組織だと思われるための第一歩です。「脆弱性管理」という言葉の意味が隣の方に説明できる自信がないという方は、ぜひ、本書に目を通してみてください。執筆に携わった皆さんに大きな感謝を!
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
-
- 1
- 2
外部リンク
この記事に関連するニュース
-
トレノケートホールディングス、グローバルな事業展開を支えるセキュリティ強化を目指し、日本シーサート協議会に加盟
PR TIMES / 2024年10月30日 11時15分
-
日本シーサート協議会「脆弱性管理の手引書 システム管理者編1.0版」を公開
PR TIMES / 2024年10月29日 12時45分
-
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
ITmedia エンタープライズ / 2024年10月29日 7時15分
-
SBOMなどの可視化データ活用知見を共創「セキュリティ透明性確保に向けた可視化データ活用~脆弱性管理編~」をセキュリティ・トランスペアレンシー・コンソーシアムが公表
PR TIMES / 2024年10月21日 17時15分
-
サイバーセキュリティ最前線 第1回 終わらない戦い、サイバー攻撃に備えるための最新情報
マイナビニュース / 2024年10月9日 9時0分
ランキング
-
1「H3」ロケット4号機打ち上げ成功に歓喜と祝福の声 JAXA用語「ナイス設備!」飛び交う
iza(イザ!) / 2024年11月4日 16時45分
-
2これはちょうどいいSSDだ! 容量2TBの「FireCuda 530R」を試して分かったこと
ITmedia PC USER / 2024年10月28日 14時0分
-
3フォロワー20万人超の32歳インフルエンサー、逝去数日前に配信番組“急きょ終了” 共演者は「今何も話せないという状態」「苦しい」
ねとらぼ / 2024年10月30日 12時20分
-
4「これはすごい!」 ハーゲンダッツのフタの便利すぎる“まさかの使い道”に反響 「21世紀最大の大発見じゃん」
ねとらぼ / 2024年11月3日 8時30分
-
5「なにこれwww」 ゲームのシリアスシーンで…… 登場人物たちの“謎挙動”に爆笑の声続出 「ずるいw」「笑ってしまった」と140万表示
ねとらぼ / 2024年11月4日 20時40分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください