ソフトウェア脆弱性管理ライフサイクル

優れた脆弱性管理は脆弱性インテリジェンスから

ソフトウェア脆弱性管理ライフサイクル – ステップ解説

Secunia Research があらゆる情報を検証済みインテリジェンスに変換

ソフトウェア脆弱性管理ライフサイクル

ソフトウェア脆弱性が公表されると、Secunia Research はそれを調査し、却下または検証の判断を下します。検証へと進んだ脆弱性は、致命度のランク付けを行った後、詳細に説明が記載されます。この説明には、攻撃ベクトル、影響力、および、利用可能なパッチや有効な回避方法など、推奨される緩和策が含まれます。

検証済みインテリジェンスはその後、Flexera Software (フレクセラ・ソフトウェア合同会社) のソフトウェア脆弱性管理ソリューション、Vulnerability Intelligence ManagerCorporate Software Inspector、および Personal Software Inspector により、お客様へと送られます。

評価:ユーザーの環境と脆弱性インテリジェンスとの関連付け

ソフトウェア脆弱性管理ライフサイクル - 評価

  • 新たな脆弱性の確認
    評価を可能にする最初の重要なステップは、ソフトウェア脆弱性に関する正確な検証済みインテリジェンスに、タイミングよくアクセスすることです。包括的で信頼性の高いソースからインテリジェンスを取得することにより、誤判定に無駄な時間を割くことなく、脅威の全体像を正確に把握することができます。
  • 資産インベントリ / 発見
    次に、このインテリジェンスをご使用の環境の資産インベントリに関連付けます。これは、脆弱なアプリケーションを特定し、インフラストラクチャに存在するソフトウェア脆弱性のマップを作成するための処理です。そのためには、正確なスキャンとマッピングに基づいてインベントリを継続的に更新する必要があります。
  • リスクの評価と優先順位付け
    脆弱性インテリジェンスと資産インベントリの関連付けを行うと、環境のリスクを評価して、緩和策に優先順位を付けられるようになります。インフラストラクチャのどの領域に脆弱なアプリケーションがあるか、また、アクセス可能なデータであるか、などの条件に基づき、問題修正の緊急性を順位付けします。リスク評価はさらに、ツールを使って資産の分類、グループ化、フィルタリング、致命度のランク付けのカスタマイズ、配信リストと警告通知の設定へと進みます。毎日、大量のソフトウェア脆弱性が公開され、確認されているため、問題に優先順位を付けられることが重要です。

緩和

ソフトウェア脆弱性管理ライフサイクル - 緩和

脅威を特定して条件付けをしたら、次のステップは緩和、つまり、修正を試みるか、脅威をそらすための回避策をとるか、になります。評価アクティビティで実行された分類とフィルタリングを利用して、緩和対応チームはリソースに優先順位を付け、組織に最も差し迫った脅威をもたらしている問題に集中することができます。

Secunia Research は、特定の脆弱性に有効なソリューション情報を常時提供しています。さらに、セキュリティ・パッチ管理のような一部の緩和アクティビティでは、専用のテクノロジによってパッチを効率的に展開するためのツールやコンテンツを利用できるため、効率性はさらに高まります。

検証

ソフトウェア脆弱性管理ライフサイクル - 検証

最後のステップは検証です。組織の各部門に、異なる検証手法を適用することができます。その手法は、チケット・システム、スキャナ、またはレポートという形で提供されます。

どの手法を選択するにしても、このステップは、緩和策を確実に成功に導くと同時に、組織が可視性、透明性、説明責任を担保するために、大変重要なものです。

ワークフローの管理とレポートの継続的な受信

ライフサイクル全体は、ワークフローとレポート処理に対応するツールで支える必要があります。こうしたツールには、柔軟性があり、組織内で使用方法をカスタマイズできることが求められます。

柔軟性はとくに重要です。すべての組織に独自のプロセスとインフラストラクチャがあり、それぞれのポリシー・セットや規則セットを忠実に守らなければならないからです。

また最初から …

ライフサイクルのステップを継続的に繰り返すことで、ハッカーやサイバー犯罪者の攻撃対象領域が常に最小化され、ひいてはリスクの劇的な削減が実現します。

Flexera Software のソリューションは、ソフトウェア脆弱性管理ライフサイクル全体に対応します

Vulnerability Intelligence Manager

サイバー犯罪者やハッカーたちはソフトウェアの脆弱性を利用してインフラストラクチャ内部に侵入し、より高いレベルの権限を得ようとします。ソフトウェア脆弱性は依然として格好のターゲットになっているのです。Secunia Research の調査によると、2014 年には 15,435 個の脆弱性が報告されています。これは、前年比 18 %の増加です。

詳細 Vulnerability Intelligence Manager

Corporate Software Inspector

Corporate Software Inspector は、いつ、どこに、どのセキュリティ・パッチをどのように適用すればよいかを示すツールです。ソフトウェア脆弱性がインフラストラクチャの脅威となっているときに、その脆弱性に対する有効なパッチが存在する場合、脆弱性が最も深刻な問題を引き起こす見込みのある箇所と、適切な修正方法、そして展開方法を示します。

詳細 Corporate Software Inspector

Personal Software Inspector

Personal Software Inspector は、プライベート PC にインストールされたアプリケーションの脆弱性を特定する、無償のコンピュータ・セキュリティ・ソリューションです。PC に脆弱なプログラムが存在すると、ウイルス対策ソリューションの届かない場所が格好の攻撃対象になる可能性があります。Personal Software Inspector は、簡潔に言うと、システム上のソフトウェアをスキャンして、セキュリティの更新が必要なプログラムを特定し、PC をサイバー犯罪から守る製品です。必要なソフトウェアに対してはセキュリティ更新プログラムを実行して、コンピュータを安全に保ちます。

詳細 Personal Software Inspector