知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう
ITmedia エンタープライズ / 2024年11月5日 7時15分
読者の皆さんは脆弱性管理というと、もしかしたら「脆弱性情報を集め、周知すること」というイメージを持っているかもしれません。このコラムでもよく取り上げる、JPCERTコーディネーションセンター(JPCERT/CC)のJVN脆弱性レポート情報や米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の「既知の悪用された脆弱性カタログ」(KEV:Known Exploited Vulnerabilities Catalog)を確認するだけでも大変素晴らしいのですが、本書ではその先に何をすべきかをしっかりとまとめています。
脆弱性情報の内容を把握したら、それが組織にどの程度のリスクを生じさせるかを評価することこそが、システム管理者の重要なタスクです。本書ではその点に関して、単にパッチを適用することだけでなく、発生可能性を低減させる対処を選択したとき、どのようなリスク評価となるかを考えるなど、組織の状況に合わせた対処を考える流れを紹介しています。「パッチはすぐには適用できない」というのはどの現場でも同様です。そこで諦めるのではなく、できることをしたらリスクがどう変化するのかを考えるようにしていきましょう。
●脆弱性管理をするために役立つ教本として
本書は一言でまとめられがちな「脆弱性管理」を、具体的に解説する大変有用な資料です。無料でダウンロードできるので、特に中小規模の事業者にはありがたい教本として、まずは手元に置いて読んでみることをお勧めします。最近の公開資料と同様、「コラム」も充実しており、読み物としても楽しめる内容です。
「脆弱性情報を集める」という部分は、まだシニアではないセキュリティエンジニアが最も興味を持つ部分ではないかと思っています。もしそういう方を組織内で育てている最中であれば、ぜひその興味はそのままに、その先に進もうとしたときの次のステップとして、本書をそっと添えておくと良いと感じました(決して「情報収集だけが仕事じゃないぞ!」みたいに大上段にかまえてモチベーションを削がないよう……)。基礎となりつつある「脆弱性管理」の入り口の資料として皆さんの組織でも活用してほしいと思います。
加えて、本書では「IT資産管理」が“前提”となっている点にも注目しています。これも新たに基礎となりつつある対策だと思っていますが、資産管理をやっていますかと聞けば、やっていない組織はゼロです。しかし、それが指すものが単なる経理上必要な台帳管理でしかない場合も多いでしょう。“正しいIT資産管理”が指すものも、立場により大きく異なると思っています。最近ではIT資産管理を超え「アタックサーフェス管理」という言葉に集約されつつある部分も、今後重要になることは間違いありません。
システム管理者という立場は、そういったITの世界で飛び交うキーワードを、自分が理解できる業務にブレークダウンし、メンバー全体でその意味を共有しなければなりません。その中には、基礎の基礎となるような地味な作業も含まれます。それこそが、サイバー犯罪者に面倒な組織だと思われるための第一歩です。「脆弱性管理」という言葉の意味が隣の方に説明できる自信がないという方は、ぜひ、本書に目を通してみてください。執筆に携わった皆さんに大きな感謝を!
筆者紹介:宮田健(フリーライター)
@IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
-
- 1
- 2
外部リンク
この記事に関連するニュース
-
外部委託先リスクマネジメント支援ツール「Supplier Risk MT」がASPICクラウドアワード2024「先進ビジネスモデル賞」を受賞
PR TIMES / 2024年11月21日 18時15分
-
脆弱性診断=アタックサーフェスマネジメント? 新興キーワードを深く学ぼう
ITmedia エンタープライズ / 2024年11月12日 7時15分
-
トレノケートホールディングス、グローバルな事業展開を支えるセキュリティ強化を目指し、日本シーサート協議会に加盟
PR TIMES / 2024年10月30日 11時15分
-
日本シーサート協議会「脆弱性管理の手引書 システム管理者編1.0版」を公開
PR TIMES / 2024年10月29日 12時45分
-
半数以上が「最新のパッチを適用済み」なのに、サイバー被害に遭うワケ
ITmedia エンタープライズ / 2024年10月29日 7時15分
ランキング
-
1イオンカード、不正利用に関するテレビ報道受け声明 「一日も早く安心してもらえる環境整備に努める」
ITmedia NEWS / 2024年11月21日 15時27分
-
2ダイソーの“フィギュアに最適”なアイテムが330万表示 驚きの高品質に「めっちゃいいやん……!」「価格バグってるw」
ねとらぼ / 2024年11月21日 20時0分
-
3「スンスンが餌食に」 販売から“全店舗3分で完売”→高額転売で「怒りが込み上げる」 スシロー×人気キャラコラボが物議
ねとらぼ / 2024年11月21日 19時2分
-
4「迷惑国際電話」を拒否できますか? - いまさら聞けないiPhoneのなぜ
マイナビニュース / 2024年11月21日 11時15分
-
5【便利】100Wにして本当に良かった、小さいのにあれもこれも充電できるスグレもの
ASCII.jp / 2024年11月21日 17時0分
記事ミッション中・・・
記事にリアクションする
記事ミッション中・・・
記事にリアクションする
エラーが発生しました
ページを再読み込みして
ください