サイバーディフェンス - 効果的なセキュリティ対策に不可欠な脆弱性管理

EYアドバイザリー株式会社
サイバーディフェンス
効果的なセキュリティ対策に
不可欠な脆弱性管理
デジタルビジネスをあらゆる脅威から保護するためには、適切なセキュリティ対策を行う
ことが欠かせません。適切なセキュリティ対策を実現するには、あらゆる脅威を招く脆弱
性を適切に管理することが重要です。
脆弱性とは何か ?
• パッチ当ての欠如
• ファイアウォールの設定ミス
• 入力の妥当性を確認しないコード
• モバイルデバイスのルート化
• 管理されていないサポート切れの資産
• サポートされていないサードパーティソフトウェア
• 有効期間切れしたセキュリティ署名
EYの脆弱性管理フレームワークはソフトウェアのパッチ管理だけではなく、保護対象と
する資産に関わるすべての脆弱性をライフサイクルで管理し、組織全体のプログラムとし
て展開いたします。
脆弱性管理における共通の課題
共通の課題
EY のアプローチ
致命的で重大度の高い多くの脆弱性が存在する。
リスクに応じて、ライフサイクルを通し、繰り返し可能
で一貫した脆弱性管理を行う。
資産の重要度に応じた修復を行うための全体を網羅
した資産の棚卸が正確にできていない。
他の資産との関連性を考慮した包括的な資産管理に
基づいて、脆弱性管理を行う。
管理されていない古い資産（レガシーテクノロジー）
やサポート切れの資産が存在する。
資産管理とリスク管理が統合された脆弱性管理 プログラムを導入する。
開発リリースのサイクルや限られたメンテナンス・
ウインドウの制約からタイムリーに脆弱性を修復 することができない。
脆弱性スキャンの周期的な間隔の調整やリスクに 基づいて定義されたサービス・レベルを考慮する。
予期しない脆弱性の発生により対応スケジュール の調整ができない。
脆弱性の継続的な監視と定義したパフォーマンスと
リスクに基づく報告を行う。
限られた技術リソースと競合する優先度により 修復作業が遅れる。
最適な優先度を考慮するためのガバナンス体制の構
築とリスクに基づいた関係者への報告体制を構築する。
ホストやアプリケーションなどプラットフォーム が持つ脆弱性からアプリケーションに対する攻撃 を受ける。
SDLC プロセスに脆弱性管理プログラムを統合し、
導入したテクノロジーにおける危険な状態が マネージメント層にあまり可視化されていない。
アプリケーションとインフラストラクチャの脆弱性
の関連付けを行う。
ビジネスへの影響やリスクに焦点を当て、関係組織
のマネージメント層に対してレポートやダッシュボード
を共有する。
EY 脆弱性管理フレームワーク
EY 脆弱性管理フレームワークはライフサイクルを通して脆弱性管理をサポートし、
• 反復可能な脆弱性管理
• ガバナンス・継続的な監視
• 包括的なスコープ、リスクに基づいた柔軟な体制
を実現することができます。
準備
監視とレポート
・ 脆弱性管理ポリシー、スタンダード、
ガイドラインを策定
・ 策定したポリシーとサービスレベルに対する順守の監視活動と報告
・ プログラムスコープの定義と 対象資産の認識
・ データの収集と指標の比較
・ 役割と責任 の定義と担当者の 割り当て
・ プロセスの逸脱とポリシーの例外の認識から継続的な是正活動
・ 能力、スキルセット、テクニカルソリューションの定期レビューからプログラムの有効性の評価
・ プログラムの有効性を評価するためのペネトレーションテスト
・ 脆弱性分類と受け入れ 基準 の 定義
検出
・ 脆弱性の検出活動の実施時期 の決定
・ システム設定のスキャンと
レビューの実施
・ 策定したスタンダードに沿った 脆弱性スキャンの設定と展開
・ ベンダー等からのセキュリ
ティアドバイザリーの購読
・ 脆弱性管理プログラムをサポート
するリソースの訓練と配備
・ 統合や自動化すべき機能の特定
・ 修復活動におけるサービ スレベ
ルの定義
・ プ ログラムの成果を 測定 する 指標の定義
・ 脆弱性のログとトラッキング
対応
・ 攻撃、侵入検査の実施
識別
・ 脆 弱 性 の 対応 方法 の 決定と文書化
・ 脆弱性 の 分析と重大 度 の 決定
・ 定義したサービスレベルに
基づ いた 対応活動 のスケ
ジュール化
・ リスクオーナーの指名
・ 策定した手順に沿って、対
象システムへの修正適用
・ 修復タスクの割り当て
・ 定義したサービ スレベルに
基づいた修復スケジュール
脆弱性管理態勢の構築と統合
組織が有効な脆弱性管理態勢を構築するためには以下のアプローチが必要になります。
•
•
•
•
•
•
•
•
脆弱性管理プログラムを定義するためのトップダウンアプローチ
ガバナンスから運用手順までのサポート
運用モデルの定義
正式な役割と責任の割り当て
脆弱性管理ポリシーとスタンダードの公開
プロセスと運用ガイドラインの策定
リスク判定基準に基づく優先基準とサービスレベルの定義
脆弱性管理プログラムと他の組織の機能との統合
また、中核的なセキュリティプログラムと脆弱性管理プログラムを統合することで有効な「サイバー・エクスポー
ジャー・マネージメント」が可能になり、リスクが高い脆弱性に対して適切に対応することが可能になります。
資産管理
を
常
管
理
異
の
構
成
成
態
状
険
危
に ビュー
構
的
セ
ス キ
ベー タン ュリテ
スラ ダー ィ
逸脱 イ ド
を識 ンか の
別す らの
る
リア
ル
基づ タイ
い ム
修
復を て対 監 視
象 に
実
施 の
する
視
脆弱
セキ
ュリ
ティ
監
相関
され
た
発
括
脆弱性を分析し、
リスクフレームワーク
に基づいて報告する
開
包
す
表
ント
シデ ンス
イン スポ
レ
た
され の
撃
攻 弱 性 じて す
脆 に応 実 施
度 析を
先
優 の分
後
染
感
サイバー
エクスポージャー
マネージメント
ア
ウェ
資産情報から
ビジネスの影響を基に
修復の優先度を
決定する
ト
件
ソフ
要
ティ
ュリ
セキ
から
成
構
ョン を
ーシ 情 報 る
リケ 弱 性 関す
アプ 脆 し相
別
識
性デ
ータ
管理されていない資産
リスク低減の失敗
エンタープライズ
リスクマネージメント
ライフサイクルをサポート
EY はお客様のニーズにあわせて評価、改善、構築、運用まで一貫したサービスを提供いたします。
• 評価：脆弱性管理プログラムにおいて人、プロセス、技術の
観点から既存の能力の成熟度を評価することで、脆弱性管
理の状態を把握することができます。
評価
改善
• 改善：脆弱性管理の能力や目指すべき態勢との GAP を埋め
るための戦略的なアプローチをご提案いたします。
• 構築：包括的な脆弱性管理プログラムを提供するため、統制
の効いた脆弱性管理態勢を構築し、その土台で技術を有効
活用いたします。
• 運用：一貫したメカニズムと信頼のある脆弱性管理態勢に基
いて運用をサポート致します。業界をリードする実践的な
マネージドサービスを通して脆弱性管理サービスをご提供
することが可能です。
運用
構築
EY | Assurance | Tax | Transactions | Advisory
サービスに関するお問い合わせ
EY アドバイザリー株式会社
EY について
EY は、アシュアランス、税務、トランザクションおよびアドバ
イザリーなどの分野における世界的なリーダーです。私たちの深
い洞察と高品質なサービスは、世界中の資本市場や経済活動に信
頼をもたらします。私たちはさまざまなステークホルダーの期待
に応えるチームを率いるリーダーを生み出していきます。そうす
ることで、構成員、クライアント、そして地域社会のために、よ
り良い世界の構築に貢献します。
EY とは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバル・
ネットワークであり、単体、もしくは複数のメンバーファームを指し、各メン
バーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グロー
バル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供し
ていません。詳しくは、ey.com をご覧ください。
EY アドバイザリー株式会社について
EY アドバイザリーは EY メンバーファームです。常に変化する
ビジネスの最前線で活躍する、さまざまな専門家が優れた知見と
強力なグローバルネットワークを活用し、幅広いクライアント
の業績向上のためのアドバイザリーサービスを提供しています。
そうすることで、より良い世界の構築に貢献します。詳しくは
eyadvisory.co.jp をご覧ください。
© 2015 Ernst & Young Advisory Co., Ltd.
All Rights Reserved.
本書は一般的な参考情報の提供のみを目的に作成されており、会計、税務及びその他の専門的な
アドバイスを行うものではありません。EY アドバイザリー株式会社及び他の EY メンバーファーム
は、皆様が本書を利用したことにより被ったいかなる損害についても、一切の責任を負いません。
具体的なアドバイスが必要な場合は、個別に専門家にご相談ください。
お問い合わせフォームへ
（ここをクリックしてください）