サイバーセキュリティの担当者にとって特に頭を抱えるのが、脆弱性の数が増え続けるとともに、その管理もますます複雑になっていくことだ。実際、米NISTが管理する脆弱性情報データベースによると、2018年だけで16,500件もの新たな脆弱性が検出されている。しかも、そうした自社に潜むサイバー攻撃の対象となり得る領域について、可視化できている組織は全体の29%に過ぎないとも報告されているのである。
 |
|
2017 年に発見された 15,038 件の脆弱性のうちの大部分が業界標準の共通脆弱性評価システム(CVSS)に基づき重大度が「高い」または「非常に高い」と分類されるものであったとされる ⇒ PDFのダウンロードはこちら |
つまり、すべての企業には、自社の情報システムやネットワーク環境等が抱える脆弱性について、しっかりと可視化したうえで管理できる体制を整えることが急務となっているわけだが、現実はそう簡単ではない。多くの組織では、適切な脆弱性管理を実践する担当者のリソースとスキルがともに不足しているからだ。ある調査によると、セキュリティ担当者のスキル不足により、脆弱性の管理に支障をきたしているとする企業の割合は実に58%にも上っている。
このように、増大する脅威と、それに立ち向かわねばならない人材のリソースとスキル不足という、極めて深刻な状況を受けてTenableが提唱するのが、脆弱性の「予測優先順位付け」だ。予測優先順位付けとは、複数のソースのデータおよび脅威に関する知見を結合し、それらすべてを機械学習を使用したデータサイエンスのアルゴリズムで分析することで、脆弱性が現実的な脅威をもたらす可能性を予測するというものだ。その効果は絶大であり、重要度が「緊急」および「高」の脆弱性を97%減らすことが可能となる。
本資料では、予測優先順位付けの概要と、実践するために必要なアプローチについてわかりやすく解説している。従来の脆弱性管理をまったく新しいレベルへと引き上げることができるアプローチをぜひ知っていただきたい。
提供レポートのご案内
脆弱性の優先度付けについて
知っておく必要がある 3 つのポイント≪目次≫
- 脆弱性管理の現状
- 優先度付けの重要性を探る
- 脆弱性管理への 3 ステップアプローチ
[PR]提供:ホワイトペーパー