SBTブログチームのアヤベです。
サイバー攻撃を防ぐためには、初期侵入経路となりうる脆弱性を攻撃者に利用される前に対策を講じる必要があります。
しかし、脆弱性管理には「資産の把握」「脆弱性の検出・評価」「脆弱性対応の優先順位付け」「脆弱性対応」「修正の検証」など膨大な作業を行う必要があり、これらを自社内で全て漏れなく実施するには、業務負荷が高く対応しきれない状況や、セキュリティの知識を持つ人材が不足している状況など、多くの課題が立ちはだかります。
そこで当社では、この課題を解決すべく、管理に必要な一連のプロセスを自動化および一元化する新サービス「MSS for 脆弱性管理(VRM)」をリリース。今回、開発担当者に脆弱性管理における課題や重要性、サービスの特長などを聞きました。
法人DX技術本部 マネージャー 持永 頼孝
脆弱性管理における"困った"を解決したい
アヤベ:今回、新サービス「MSS for 脆弱性管理(VRM)」の開発に至った理由は何でしょうか?
内田:外部公開されたサーバーやシステムなどが適切に管理されていないと、その脆弱性をサイバー攻撃に利用されてしまい、子会社や取引先など関連組織が被害に遭ってしまう要因となりえます。
事実として IPA(独立行政法人 情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」で2019年から2023年まで上位にランクインしている通り「サプライチェーンの弱点を悪用した攻撃」は、年々勢いを増しています。そのような被害を防ぐ対策の一つとして貢献できればと考え、今回のサービス開発に至りました。
安藤:適切な IT 資産管理と脆弱性管理には、包括的かつ継続的な取り組みが求められますが、今や IT 資産は複数部署にまたがる利用が多く関係者間の調整が困難であり、また日々増減や変更が発生するためリアルタイムで把握し続けることは容易ではありません。
また、脆弱性を管理するシステムを自社内で構築される企業様もいらっしゃいますが、コスト面や導入後の運用における人材不足などの問題で難しいケースも多いです。しかし、脆弱性を狙った攻撃への対策は、あらゆる組織において重要です。そこで、当社が標準的なプラットフォームをご提供することで、システム構築や運用の負担を軽減できるようなサービス開発を目指すことにしました。
持永:サービス開発にあたり、複数のお客様に脆弱性管理における課題や現状をヒアリングさせていただきました。お話を伺うと、全てのお客様が脆弱性管理は重要である認識をお持ちです。ただ、しかるべき対策ができているかというと、まず自社の IT 資産を把握しきれていないという課題がありました。また、脆弱性が発見されても、自組織への影響度の判断が難しかったり、対応の進捗管理や情報共有ができる仕組みがなかったりといった運用上の課題も多く、それらを解決する術がないという現状を伺いました。
アヤベ:脆弱性に対応する体制が組織にないと、どのようなリスクが考えられますか?
内田:重大な脆弱性が検出された際には、即座に対応しなければならないのですが、自組織の IT 資産を把握できていないと、それが自組織にとって対応が必要な脆弱性なのか調査するところから始めることになります。また、いくつかのシステムでは脆弱性対応が完了しても、他のシステムで対処すべき脆弱性を取りこぼしていないか不安が残ったままになってしまいます。対応の遅れや漏れが出てしまうと、それが攻撃を受けてしまうリスクに直結するのです。
多くの組織にとっては、ビジネスを拡充するための新しいシステムやその管理を優先することが多いと思いますし、もちろんそれは重要なことですが、実際に攻撃に遭い被害が発生してしまうと、対策にかかるコストが増加したり、企業のイメージに悪影響を及ぼしたりと、ビジネスへ大きな影響が出てしまうという危険性が高まります。"いざ"という時に後手にまわらないよう、平時から備えていただくことをお勧めしています。
脆弱性管理のプロセスを自動化し、数日~数週間かかるリスク判断がその場で可能に
アヤベ:サービスの内容を教えてください。また、どういった特長がありますか?
安藤:お客様の組織に IT 資産がどのくらいあるのか自動収集して把握したうえで、脆弱性と呼ばれる弱点となるものが、どのくらいあるかを調べることを基本的なコンセプトとしています。「資産の把握」と「脆弱性の検出・評価」を組み合わせて一元管理できるという点が、このサービスの最大の特長です。さらに、脆弱性を見つけるだけではなく、見つけた後に関してもフォーカスしています。
持永:脆弱性が検出された際に慌てず対応するために、誰がどう対応するのか体制を整理しておくうえでも、このサービスが活用できます。どの資産はどのチームが対応するのか割り振りができる仕組みがあり、優先順位の評価をしたうえで対応を担当するチームに通知します。対応中や完了といったステータス管理もできるので、対応漏れの心配を軽減できるのです。
内田:お客様から、脆弱性を把握したうえで、それが自組織にどれだけの影響があるのかを確認する工程に多くの時間を要しているとの声をよくお聞きしました。情報システム部門と CSIRT チームが連携し、脆弱性に関して技術情報を調べ、社内のネットワーク構成を見返し、設定情報などを確認、さらに各部門へのヒアリングといったプロセスを実施されている企業様が多いです。このように社内の多くのステークホルダーを巻き込みながら「判断」をしていく必要があるのです。
早急な対応が必要であっても、これらのプロセスを経ないと判断が難しいケースもあり、業務負荷だけではなく対応時間においても多くの課題がありました。この課題に対して、一連の7つのプロセスを可能な限り体系的に自動化し、ポータルを通じた情報共有の機能なども盛り込み、今まで数日から数週間かかっていた脆弱性のリスク判断をその場で素早く行うことを可能にしたのが今回のサービスです。
アヤベ:プラットフォームに ServiceNow を選定した理由は何でしょうか?
持永:社内で利用していたこともあり、今回のサービスを実現するうえで最適なセキュリティプラットフォームであることは、実感とともに確信が持てました。資産管理ツールや、脆弱性スキャナーとの連携がサポートされていますし、チケットの管理、通知、ポータルなどお客様とコミュニケーションをはかる機能も充実しています。
ServiceNow は、利便性が高い一方、多機能なプラットフォームであるため、導入に時間や手間がかかる場合があります。当社がサービス化してご提供することで、スムーズに導入いただけるよう今回のサービスに組み込んでいます。
インシデントの未然防止に重要な"平時の備え"にフォーカス
アヤベ:サービス開発にあたり、苦労した点はありますか?
安藤:開発の初期段階では、解決すべき課題は見えたものの、理想と現実のギャップをどう埋めるのかが一番悩みました。つまり、当社が考える"教科書通り"の最適な運用はありますが、それではお客様側の負担が大きくなってしまいます。クリアすべき基準を担保しながら、現実的にお客様が実現可能な運用を探るべく、お客様へのヒアリングでニーズなどをお聞きしたほか、お客様のシステム運用支援を担当している当社の部隊とも意見交換を行い、サービスに落とし込んでいきました。
アヤベ:当社がご提供するセキュリティサービスにおける展望をおしえてください。
内田:より多くのお客様にフィットするサービスにしていくためにも、実際に導入いただいているお客様からのご要望にお応えできるよう柔軟に改良していくつもりです。また、ServiceNow には便利な機能が豊富にあるので、活用の幅を広げてシステム運用に必要な新たなプロセスを追加できるよう検討していきたいです。
これまで当社では、受けた攻撃をいち早く検知し、いち早く対応するための SOC サービスを充実させてきました。今回は攻撃を受けたタイミングではなく、インシデントを防止するために重要となる平時の対策にフォーカスしています。このサービスが、お客様のセキュリティレベル向上に貢献できると思いますし、今後もそのようなサービス開発に努めていきたいと考えています。
この記事を読んでいただいた方は、ぜひ自組織の脆弱性管理が適切かどうか見直していただき、不安や課題を抱えていらっしゃる場合は、当社にお気軽にお問い合わせいただければと思います。
関連ページ
IT 資産の脆弱性情報を収集・可視化 「MSS for 脆弱性管理(VRM)」資料請求・お問い合わせはこちら
|
