Gartner Research

効果的な脆弱性管理の5大要素

Published: 08 February 2023

Summary

脆弱性管理は、サイバーセキュリティの重要なプロセスである。しかし、多くのSRMリーダーは、脆弱性管理プログラムの最適化という課題に直面している。SRMリーダーは、リスク・ベースの脆弱性管理を実施することで、組織のリスクを低減し、望ましい成果を達成できる。

Included in Full Research

要約

主要な所見
  • 最も優れた脆弱性管理チーム、インフラストラクチャ/オペレーション (I&O) チーム、アプリケーション・チームであっても、定められたスケジュールを遵守できないことが多い。また、多くのチームは、非効率的であるとして監査担当者やステークホルダーから精査を受けている。

  • すべての脆弱性にパッチを適用することは不可能である場合が多く、通常はパッチ適用の例外を登録する必要がある。これによって企業は、リスク緩和策の導入などを通じてリスクを追跡し、管理できるようになる。しかし、多くの企業は依然としてこうした例外を適切に管理できていないため、リスクを (効果的に) 緩和できず、リスクが増大している。

  • ITインフラストラクチャの範囲と規模が拡大するにつれて、部門横断型チーム間の連携が不足し、資産インベントリにギャップが生じる。

  • 優先順位付けは、ほとんどの脆弱性アセスメント・ソリューションにおいて主流になっているが、脆弱性管理プログラムではまだ一般的に採用されていない。多くの組織が、リスク・ベースの脆弱性管理 (RBVM) を実施し、脅威の全体像についての理解を深め、侵害のリスクを低減させる必要がある。

  • 脆弱性管理プログラムの管理担当者は、関連する評価指標の報告が困難であるために、プログラムの成否を評価できない場合が多い。その結果、ほかのビジネス・リーダーやステークホルダーからの賛同を得られない。

推奨事項

脆弱性管理を担当するセキュリティ/リスク・マネジメント (SRM) のリーダーは、以下を行う。

  • RBVMのアプローチを導入する。このアプローチによって、チームの取り組みを戦略的に計画できるほか、重大なビジネス・リスクをもたらす、関連性が高く悪用可能な脆弱性にチームが対処することが可能になる。

  • インフラストラクチャと資産の可視性の欠如に対処する。そのためには、最新の資産インベントリを作成して維持し、I&Oチームやアプリケーション/資産オーナーと協力してインフラストラクチャの死角をなくす。

  • 修正サイクルと同期した合理的かつ最適な頻度でスキャンを行い、関連するリスク情報を保持する。この頻度は、組織のリスク許容度、コンプライアンス要件、その他の資産タイプ (ビジネス・クリティカルなインフラストラクチャなど) の数によって決めるべきである。

  • 継続的な脅威エクスポージャ管理 (CTEM) の原則を実施し、実用性、リスク・コントロール、セキュリティ統合、優先順位付けを実現する。

  • 仮想パッチの適用、多要素認証 (MFA)、構成変更、システムのハードニング、ネットワーク・セグメンテーションといったネットワーク・セキュリティ・コントロールを取り入れ、パッチ適用の例外に伴うリスクを緩和する。同様に、エンドポイントの検知/対応 (EDR) やWebアプリケーション・ファイアウォール (WAF) などのエンドポイント/Webアプリケーション・セキュリティ・ソリューションは、パッチを適用できない場合の有効な補完コントロールとなる。

  • オペレーションと管理に関する評価指標を策定し、提示する。この評価指標は、パフォーマンスを測定し、リスク低減アクションを促し、脆弱性管理機能の価値を伝えるものとする。

To view the entire document, log in or purchase

Analysts:

Hiroyuki Suzuki

Access Research

Already a Gartner client?

Just stopping by?

To view this research and much more, become a client.

Speak with a Gartner specialist to learn how you can access peer and practitioner research backed by proprietary data, insights, advice and tools to help you achieve stronger performance.

By clicking the "Continue" button, you are agreeing to the Gartner Terms of Use and Privacy Policy.

Gartner research: Trusted insight for executives and their teams

What is Gartner research?

Gartner research, which includes in-depth proprietary studies, peer and industry best practices, trend analysis and quantitative modeling, enables us to offer innovative approaches that can help you drive stronger, more sustainable business performance.

Gartner research is unique, thanks to:

Independence and objectivity

Our independence as a research firm enables our experts to provide unbiased advice you can trust.

Actionable insights

Not only is Gartner research unbiased, it also contains key take-aways and recommendations for impactful next steps.

Proprietary methodologies

Our research practices and procedures distill large volumes of data into clear, precise recommendations.

Gartner research is just one of our many offerings.

We provide actionable, objective insight to help organizations make smarter, faster decisions to stay ahead of disruption and accelerate growth.

Tap into our experts

We offer one-on-one guidance tailored to your mission-critical priorities.

Pick the right tools and providers

We work with you to select the best-fit providers and tools, so you avoid the costly repercussions of a poor decision.

Create a network

Connect directly with peers to discuss common issues and initiatives and accelerate, validate and solidify your strategy.

Experience Information Technology conferences

Join your peers for the unveiling of the latest insights at Gartner conferences.

©2022 Gartner, Inc. and/or its affiliates. All rights reserved. Gartner is a registered trademark of Gartner, Inc. and its affiliates. This publication may not be reproduced or distributed in any form without Gartner’s prior written permission. It consists of the opinions of Gartner’s research organization, which should not be construed as statements of fact. While the information contained in this publication has been obtained from sources believed to be reliable, Gartner disclaims all warranties as to the accuracy, completeness or adequacy of such information. Although Gartner research may address legal and financial issues, Gartner does not provide legal or investment advice and its research should not be construed or used as such. Your access and use of this publication are governed by Gartner’s Usage Policy. Gartner prides itself on its reputation for independence and objectivity. Its research is produced independently by its research organization without input or influence from any third party. For further information, see Guiding Principles on Independence and Objectivity.