コンテンツにスキップ
写真提供:Longmont Power and Communications

カジノサイト サイバーセキュリティの脆弱性を最小限に抑える方法

クラーク・キャンベル著
2017 年 11 月 28 日

オンライン限定

サイバーセキュリティに関して言えば、常に遅れを取り戻し、脆弱性が悪用されてから対応するのではなく、物事を積極的に自分の条件に合わせて管理することが主な目標であるべきです。

残念なことに、米国連邦政府を含むあまりに多くの組織が、依然として事後対応モードで運営されています。その理由は、一般に次の 2 つのものが欠けているためです。1) 自社の IT インフラストラクチャとそこに潜む潜在的なサイバー脆弱性を正確に把握すること。 2) リスク管理の観点から脆弱性の優先順位付けと管理に役立つ最新の正確な情報。

10 年にわたり米国連邦機関とコンサルティングを行ってきた経験を経て、組織がソフトウェアおよびハードウェア資産のサポート終了/サポート終了 (EOS/EOL) の日付をほとんど、あるいはまったく把握していないことがあまりにも一般的であることがわかりました。また、ハードウェア資産とソフトウェア資産の Common Vulnerability Scoring System (CVSS) 値を知らない人も多くいます。

それは理解できます。現在、200 万のハードウェア製品とソフトウェア製品に対して 3,100 万の命名規則が存在しており、たとえば、インベントリ ツールが SQL Server を参照する方法は 16,000 通りあります。特定の製品の参照方法が統一されていないため、混乱を招くデータの寄せ集めが発生し、ネットワークの IT 資産インベントリとリスク プロファイルの包括的なビューを取得するほとんどの努力が台無しになります。その結果、IT 管理者は、承認済みリストと未承認リストにあるネットワーク接続資産を簡単に特定できず、どちらのリストに含まれる不正資産も特定できないことがよくあります。

企業の IT インフラストラクチャに対するこの種のインテリジェンスと可視性がなければ、サイバー リスクに対処するための予防的な実践やポリシーを展開することは事実上不可能です。今日 EOL の対象となるすべてのネットワーク接続資産と、今日から 6 か月または 1 年後に EOL になるすべてのネットワーク接続資産を包括的に把握して何ができるかを想像してみてください。この情報は、これらの脆弱性に優先順位を付ける際に積極的な姿勢をとるのに大いに役立ちます。

そのための 1 つのアプローチは、たとえば、EOL または EOL に近いアセットのリストを取得し、同様に未承認のアセットを調べて、それらのアセットのどれが CVSS 値が高いかを確認することです。

この種の可視性と知識は、IT セキュリティ スタッフがいつ注力すべき資産について知らせるだけでなく、EOL のハードウェアとソフトウェアの交換に関連する予算編成、契約、ロジスティクスのニーズを事前にプランナーに知らせるのにも役立ちます。

IT インフラストラクチャ全体に存在する脆弱性に関する包括的な情報を得ることで、IT 管理者は既存の環境をより深く理解し、望ましい最終状態の環境に積極的に移行できるようになります。しかし、インフラストラクチャと脆弱性に対する政府機関の見解を妨げる重大な盲点がある場合、これは不可能です。

2016 年から 2019 年の間に、30 億ドルを超える米国連邦 IT 資産が耐用年数を終えると推定されています。これは、これらの各資産について、パッチ管理、アップグレード、ベンダー サービスやサポートがなくなることを意味します。あまり知られていないかもしれませんが、EOL 資産はハッカーやマルウェアが侵入する可能性のある脆弱性を表しているということです。

共通脆弱性および暴露 (CVE) として知られる、最も頻繁に悪用されるサイバーセキュリティの脆弱性の多くは、10 ~ 15 年以上前に遡ります。これらの脆弱性はよく知られていますが、依然としてハッカーによって悪用され続けています。それは、これらの CVE を所有する EOL ソフトウェアとハードウェアが、多くの場合 IT スタッフの知らないうちに連邦ネットワーク上に存在し続けているためです。

あなたが最高情報責任者または最高情報セキュリティ責任者にとって、これは不安なニュースです。盲点がどこにあるのか、そしてそれらの脆弱性の緩和を優先する方法を正確に示すための正確なデータがない場合は、さらに悪いことになります。

EOS/EOL を識別する現在のプロセスは手動プロセスであり、非常に時間がかかります。問題の 1 つは、EOS/EOL データがソフトウェア自体に組み込まれていないため、セキュリティ管理の専門家はデータを一元管理する方法を見つける必要があることです。これを行う場合、時間の経過とともにデータが変化するため、継続的に更新する必要もあります。さらに、ほとんどの企業は単一ベンダーのソフトウェアを使用していないため、さまざまなベンダーからこのデータを収集し、ベンダーごと、ソフトウェアごとに調査を続ける必要があります。

米国連邦政府機関やその他のあらゆる規模の企業は、どのようにして事後対応型からプロアクティブ型に移行できるのでしょうか?始めるための 4 つのアクションを次に示します。

  • EOS/EOL 資産のインベントリを作成して確認します。ネットワークに接続されているすべてのハードウェアおよびソフトウェアの EOS/EOL データを把握すると、より包括的なサイバーセキュリティ リスク認識が得られます。また、現在 EOL になっている IT 資産と、将来 EOL になる予定の IT 資産を把握することで、セキュリティ チームがリスクを事前に把握し、リスクを積極的に軽減できるようになります。
  • 承認済み/未承認の IT 資産の可視性を特定します。IT 資産の承認/未承認のリストを作成することは別のことです。リストを強制することは別のことです。セキュリティ チームがネットワーク上のハードウェアとソフトウェア (管理されていない不正な資産を含む) を特定し、どの資産が承認されているか、どの資産が承認されていないかを分析できるようにします。また、ネットワーク上のどの IT 資産が承認または未承認で再評価が必要かを特定することも同様に重要です。
  • 一般的な脆弱性値の値スコアを作成します。国立標準技術研究所が定義した脆弱性のリスク重大度スコアを知ることは、限られたリスク軽減リソースをどのように配分するかについて、より適切かつ積極的な意思決定に役立ちます。
  • EOL データと CVSS データの結合に焦点を当てます。企業の最もリスクの高い資産 (CVSS 値で測定) を EOL または EOL 付近の資産とプロットすることで、緩和策に優先順位を付け、ネットワーク上の時限爆弾の可能性を積極的に無効化する簡単な方法が得られます。

これらの手順を実行することは、リスク管理の観点から脆弱性を管理するのに大いに役立ちます。

Clark Campbell は、米国連邦 IT チームと協力して、IT 資産についてより明確な洞察を得るのを支援しています。 Clark は、IT 資産情報の包括的な情報源である Technopedia のメーカーである Flexera の公共部門担当副社長です。彼に連絡できるのは次のとおりです。[email protected].

arrow_upward