Published: 02 August 2023
脆弱性管理は長い間、脅威を防止するものではなくコンプライアンスの活動と見なされてきた。セキュリティ/リスク・マネジメント・リーダーは、Gartnerのリスク・ベースの脆弱性管理プログラムを実践し、脅威を防止してオペレーション・リスクを定量化し、コンプライアンス義務を果たすべきである。
これまで10年以上にわたり、統計的には少数の脆弱性が、企業に対するオペレーション・サイバーリスクの大部分を占めてきた。リスクの中核は、脆弱性がさまざまな脅威にどう悪用されているか、また、さまざまな脅威アクターによってどう操作されるか、という点にある。したがって、企業は脆弱性を特定し、それらに優先順位を付けることが重要である。さらに、単にパッチを適用するのではなく、広範かつ補完的な脅威防止手段を講じる必要もある。
緊急性の高い脅威に対して適切にリソースを割り当てられるよう、オペレーション・リスクの定量化を行っている企業は少なく、あまりにも多くの企業が善意を根拠とした従来のフレームワーク・アプローチに依存している。問題は、こうしたアプローチがエビデンスに基づいているわけでも、企業の環境に合わせて動的に調整されているわけでもない点である。こうしたアプローチは、脅威アクターの活動を妨害するどころか支援している場合が多い。これが、近年セキュリティ侵害の件数が増え続けている主な理由である。
企業が評価機能を使用して発見できる脆弱性の数は極めて多い。その一方で、セキュリティ侵害のリスクを減らす方法に関する、各企業の状況に応じたガイダンスの数は非常に少ない。
パッチ適用の運用は、従来の脆弱性管理 (脆弱性マネジメント) フレームワークによく見られる「ただパッチを適用すればよい」という考え方よりも微妙で複雑な作業である。企業は今後も、脅威アクターの活動と同じタイムフレームの中でシステムにパッチを適用することに苦労するであろう。脆弱性管理プログラムを成功させるには、この現実と向き合わなければならない。したがって、セキュリティ/リスク・マネジメント (SRM) のリーダーは、単なるパッチ適用以外にもさまざまな補完的コントロールを設ける必要がある。
脆弱性管理の責任を担うSRMリーダーは、以下を行う。
さまざまな資産の評価を含むリスク・ベースの脆弱性管理 (RBVM) プログラムを実施する。また、定量化の原則を応用して優先順位付けができるようにし、単なるパッチ適用にとどまらない広範な補完手段を講じる。これは、脅威に対する企業のエクスポージャを減らすと同時に、企業の脅威状況を定量化するのにも役立つ。
資産の状況、脅威アクターの活動、補完的コントロールといった追加のコンテキストを用いるRBVMのアプローチを採用する。RBVMでは、基本的な脆弱性評価テレメトリを用いて真のリスクを評価および特定する。こうしたエビデンスに基づくアプローチにより、セキュリティ侵害の可能性を大幅に減らすことができる。
専用の脆弱性プライオリティ・テクノロジ (VPT)、侵入/攻撃シミュレーション (BAS)、外部アタック・サーフェス・マネジメント (EASM)、攻撃パス評価ツールを用いて、脆弱性評価ツールの強化を図る。これにより、脆弱性の優先順位付けが向上し、オペレーション・リスクの定量化がより効果的になる。こうした新しいテクノロジは、面倒な手作業の必要性を減らすものであり、現在は大半の脆弱性評価ソリューションに機能として組み込まれているが、有効性にはばらつきがある。
エビデンスとリスクに基づくアプローチを用いて、パッチ適用などの機能を補完的コントロールで向上させる。コントロールの例には、侵入防御システム (IDPS)、ネットワーク検知/対応 (NDR)、Webアプリケーション・ファイアウォール (WAF/Webアプリケーション/API保護 [WAAP])、多要素認証 (MFA)、アプリケーション制御、ネットワーク・セグメンテーション (ゼロトラストの原則を含む) などがある。こうしたコントロールは、脆弱性にパッチを適用できない場合のセキュリティ侵害のリスクを相殺し、アタック・サーフェス (攻撃対象領域) を減らし、脆弱性の悪用を防ぐのに役立つ。
Analysts:
Gartner research, which includes in-depth proprietary studies, peer and industry best practices, trend analysis and quantitative modeling, enables us to offer innovative approaches that can help you drive stronger, more sustainable business performance.
Our independence as a research firm enables our experts to provide unbiased advice you can trust.
Not only is Gartner research unbiased, it also contains key take-aways and recommendations for impactful next steps.
Our research practices and procedures distill large volumes of data into clear, precise recommendations.
We provide actionable, objective insight to help organizations make smarter, faster decisions to stay ahead of disruption and accelerate growth.
We offer one-on-one guidance tailored to your mission-critical priorities.
We work with you to select the best-fit providers and tools, so you avoid the costly repercussions of a poor decision.
Connect directly with peers to discuss common issues and initiatives and accelerate, validate and solidify your strategy.
Gartner clients can log in to access the full library.
Join your peers for the unveiling of the latest insights at Gartner conferences.
©2022 Gartner, Inc. and/or its affiliates. All rights reserved. Gartner is a registered trademark of Gartner, Inc. and its affiliates. This publication may not be reproduced or distributed in any form without Gartner’s prior written permission. It consists of the opinions of Gartner’s research organization, which should not be construed as statements of fact. While the information contained in this publication has been obtained from sources believed to be reliable, Gartner disclaims all warranties as to the accuracy, completeness or adequacy of such information. Although Gartner research may address legal and financial issues, Gartner does not provide legal or investment advice and its research should not be construed or used as such. Your access and use of this publication are governed by Gartner’s Usage Policy. Gartner prides itself on its reputation for independence and objectivity. Its research is produced independently by its research organization without input or influence from any third party. For further information, see Guiding Principles on Independence and Objectivity.
