脆弱性評価とは?

脆弱性評価とは、ビジネスの特定のコンポーネントを調べて特定のセキュリティ上の弱点を明らかにするツール、手法、またはプロセスを指します。アプリケーション、サービス、ネットワーク、インフラストラクチャ、およびユーザーのすべてが、意図せずセキュリティ上の問題を引き起こす可能性があります。自動パッチチェック、コード分析、ソーシャルエンジニアリング演習などの脆弱性評価を実施することで、組織は脅威を軽減し、全体的なセキュリティ体制を強化することができます。

セキュリティ体制の強化を検討している企業にとって、脆弱性評価を実施することにはいくつかの利点があります。

セキュリティリスクを軽減

脆弱性評価は、攻撃者が悪用する可能性のある環境内のギャップを直接特定します。セキュリティ体制の改善が必要な箇所を理解することで、セキュリティを強化するための予防策の開発をすぐに開始できます。脆弱性評価を頻繁に行うことで、未知のセキュリティの弱点が明らかになり、事前に修正することができます。

インシデント対応経路とエクスポージャー管理を改善

脆弱性評価により、インシデント対応プロセスとリスク管理手法を計画できます。脆弱性分析を行うと、一部の脆弱性は封じ込めが困難であったり、修正に長い時間がかかることが分かる場合があります。

このような場合は、エクスポージャー管理手法、利害関係者とのコミュニケーション計画、その他のインシデント後の経路など、インシデントへの対応プランを策定したり磨いたりできます。

コンプライアンスと監査の取り組みをサポート

セキュリティコンプライアンスの重要な点は、システムが規制の枠組み、監査および報告条件に準拠しているかどうかを定期的に監視することです。特定のフレームワークに合わせて脆弱性分析を実施することで、コンプライアンスを達成するためにアーキテクチャと統制を改善する必要がある領域を特定できます。定期的に脆弱性評価を実施することで、監査に使用できるセキュリティ体制管理チェックのログを作成します。

特定された脆弱性を排除してセキュリティ体制管理を強化

脆弱性評価は、企業のセキュリティ体制を強化したり、現在のサイバーセキュリティプロトコルや統制を改善したりできる分野を特定するのに役立ちます。セキュリティを改善できる点を理解することで、潜在的な影響に基づいて脆弱性に優先順位を付けるのが簡単になります。この脆弱性管理プログラムは、サイバーセキュリティチームが重大なセキュリティ問題に迅速に対処するのに役立つロードマップを提供します。

ここでは、脆弱性分析を実行する際に企業が遭遇する可能性のある最も一般的なセキュリティ脆弱性をいくつか紹介します。

強化されていないネットワーク

ネットワーク強化とは、ネットワークインフラストラクチャを可能な限り安全にするために、保護ソリューションと制御を追加するプロセスです。アタックサーフェスの一部に特定のセキュリティ制御が欠けていたり、ファイアウォールの設定が誤っていたりする場合、これは強化されていないネットワークの脆弱性と見なされます。ポートやパブリックネットワークが開いていると、第三者が許可なく機密データにアクセスする恐れがあります。これらの潜在的な脅威についてネットワークを監視することは、脆弱性管理の中心的な部分です。

非推奨ソフトウェア

多くのレガシーシステムおよびソフトウェアには、幅広い業界で知られているセキュリティの脆弱性が含まれています。企業がレガシーシステムや廃止予定のソフトウェアを使い続けると、リスクにさらされます。新しいセキュリティパッチやアップデートが適用されていないサポート対象外のシステムやソフトウェアにはリスクがあります。これらのシステムをできるだけ早くモダナイズするか交換してください。

安全でないデータ管理

データ管理は、効果的なセキュリティ体制管理の中心的な部分です。非効率的な暗号化技術、デフォルトのログインアカウント、管理されていないアクセス制御など、企業のデータ処理ポリシーが標準以下であれば、権限のない第三者がデータにアクセスしやすくなります。

設定の脆弱性

設定の脆弱性とは、デジタルシステムの設定ミスにより、悪用されやすくなることを指します。たとえば、Amazon S3 バケットをパブリックに共有する設定に誤りがあると、意図しない情報漏えいが発生する可能性があります。そのため、既知の脆弱性を特定して対処するために、アクティブな設定を定期的にチェックすることがビジネスにとって不可欠です。

弱いユーザー管理

従業員や保護が不十分なユーザーアカウント (パスワードが弱いアカウントや MFA を使用していないアカウントなど) は、セキュリティ体制に潜在的なリスクをもたらす可能性があります。企業は定期的にユーザーアカウントを見直し、適切なパスワード慣行を促進し、すべてのアカウントに多要素認証を要求し、退職したユーザーのアカウントを削除する必要があります。

パッチが適用されていない脆弱性

サイバーセキュリティチームが広く使用されているシステムの脆弱性を特定した場合、その情報を公開して他のチームと共有することは業界標準の対応です。非公開のチャネルを通じて情報共有を行うと、第三者のチームがその脆弱性を悪用し始める前に、どのツールでも問題を解決するためのパッチを発行できるようになります。

このため、サイバーセキュリティチームは、使用するすべてのソフトウェアを常に最新バージョンに更新するよう努める必要があります。そのソフトウェアには最新のセキュリティパッチが含まれているためです。

内部関係者の脅威

内部関係者による脅威とは、在職中の従業員が、故意または過失によって予期しないセキュリティイベントを引き起こすことで発生する脅威です。これらの脅威は、多くの場合、フィッシング詐欺に陥ってアカウントにアクセスできなくなるなど、セキュリティに関する知識が不足していることが原因です。内部脅威はごく一般的なものであるため、継続的に実施される包括的なセキュリティ対策では、ユーザー教育が重要な部分となっています。

脆弱性評価にはいくつかの種類があり、それぞれ異なる種類の脆弱性に対応します。

スキャン脆弱性評価ツール

自動脆弱性スキャンは、企業のアタックサーフェスを監視し、そのオペレーティングシステム、ネットワークデバイス、およびアプリケーションと連携して、主要な脅威監視グループによって特定された脆弱性のデータベースと照合します。スキャナーがシステム内のデータベースから一般的な脆弱性のいずれかを特定すると、セキュリティチームに対策を講じるよう警告します。

静的解析と動的解析手法

静的アプリケーションセキュリティ検査 (SAST) は、アプリケーションのソースコードを検査して潜在的な脆弱性をチェックする脆弱性スキャンツールです。SAST はセキュアコーディングの中心的な部分であり、開発者がライブコードにプッシュされる前に脆弱性を発見できるように、ソフトウェア開発パイプラインに統合されることがよくあります。

動的アプリケーションセキュリティ検査 (DAST) は、ランタイム環境でアプリケーションを監視して、第三者とのやりとりの存在を示す可能性のある異常を検出します。DAST 脆弱性検査では、クロスサイトスクリプティング、SQL インジェクション、不適切なセッション処理シナリオなどの一般的な悪用を特定します。

内部ピアレビュー

ソフトウェア開発のシフトレフト時代では、同僚による内部コードレビューが標準的な手法となっています。社内のピアレビューでは、社内のサイバーセキュリティチームが互いの既存のコードとシステムを検査して、予期しないセキュリティイベントで第三者が悪用する可能性のある設定ミス、潜在的な脆弱性、およびロジックの欠陥を特定します。

外部レビューとペネトレーションテスト

外部レビューは内部ピアレビューと同様のプロセスに従いますが、外部のセキュリティ会社によって実施されます。これらの企業は、セキュリティ体制をきめ細かく検査し、潜在的な脆弱性がないかについてツール、システム、アプリケーション、およびコードを検査することを専門としています。外部レビューには、レッドチーム (模擬攻撃を行う検証チーム) によるシミュレーション演習やペネトレーションテストが含まれる場合もあります。

統合評価プロセス

AWS Security Hub などのクラウドセキュリティ脆弱性評価ツールの多くは、データログ、アクセスコントロールシステム、設定などのさまざまな内部ソースからデータを積極的に収集し、クラウド環境の全体的な概要を提供します。統合された脆弱性分析により、セキュリティチームはセキュリティ体制を広範囲に把握できます。

ソーシャルエンジニアリングと物理的評価

セキュリティ侵害の主な原因の 1 つは、従業員が誤ってフィッシング詐欺に陥ったり、潜在的な脆弱性を示す悪意のあるリンクをクリックしたりするヒューマンエラーです。セキュリティチームは、このような事態の発生を減らすために、セミナーや教育の機会を提供することができます。さらに、企業は自動化されたソーシャルエンジニアリングテストを実施して、従業員がこれらの脅威をどの程度効果的に特定して対応しているかを評価できます。

継続脆弱性評価プロセスとは、異常を監視する定期的またはリアルタイムの脆弱性スキャンシステムです。脆弱性分析へのこのアプローチは、あらゆる異常を可能な限り迅速に特定して修復の優先順位を付けることができるため、継続的な対応に役立ちます。

脆弱性評価レポートは、システムの現在の状態に関するより詳細な洞察をいつでも提供できます。レポートを統合セキュリティソリューションと統合して、より深いセキュリティインサイトを提供することができます。

リスク評価は、企業が発見した脆弱性の潜在的な影響を理解したい場合に使用できる追加の評価です。たとえば、企業は脆弱性評価を実施した後、脆弱性分析を含むリスク評価を実施して、どの脆弱性が自社の目標とセキュリティにとって最大の脅威となっているかを判断することがあります。

包括的な脆弱性評価と、特定された脆弱性に対するリスク評価を組み合わせることで、企業にさらなる背景情報を与え、特定の修正を優先して優先順位を付けることができるようになります。 

違反と攻撃のシミュレーション (BAS) は、社内または社外のチームがサイバーディフェンスへの攻撃をシミュレートするレッドチーム演習の一種です。これらの演習は、権限のない第三者グループが採用する可能性が高い現実世界の戦略を使用して、攻撃を厳密にシミュレートすることを目的としています。通常、BAS は MITRE ATT&CK に記載されているような既知の攻撃ベクトルフレームワークに従います。

脆弱性評価は脆弱性を特定することを目的としていますが、侵害シミュレーションは安全で制御された環境で脆弱性を悪用してインシデント対応をテストすることを目的としています。企業は、既知の脆弱性にパッチを適用した後、修正の有効性をテストするために侵害シミュレーションを使用する場合があります。

ISO 27001、SOC 2、PCI DSS などのサイバーセキュリティコンプライアンスフレームワークの大部分は、企業が定期的に脆弱性評価を実施することを義務付けています。これらの評価を継続的に実施することにより、企業はコンプライアンスを実証するレポートとともに、義務付けられたデューデリジェンスを実施します。

脆弱性評価を頻繁に実施することは、企業が監査に備えるのに役立ち、違反が発生した場合に罰則が科せられるリスクを軽減します。 

AWS クラウドセキュリティソリューションは、資産、ネットワーク、人材管理を保護するのに役立ちます。

Amazon Inspector は、Amazon Elastic Compute Cloud (Amazon EC2) インスタンス、コンテナイメージ、AWS Lambda 関数などのワークロードやコードリポジトリを自動的に検出し、ソフトウェアの脆弱性やネットワークセキュリティ攻撃がないかスキャンします。この継続脆弱性評価サービスは、現在よく見られる脆弱性とエクスポージャー（CVE）情報、およびネットワークのアクセシビリティを基に、状況に応じたリスクスコアを作成して、脆弱なリソースに優先順位を付けて解決できるように支援します。

AWS Security Hub は、統合された継続脆弱性評価や常時稼働の脅威検出など、クラウドセキュリティ運用を統合します。

AWS Security Hub クラウドセキュリティ体制管理 (CPSM) は、セキュリティのベストプラクティスチェックを実行し、AWS セキュリティサービスとパートナーのセキュリティ検出結果を取り込みます。これらの結果を他のサービスやパートナーのセキュリティツールで得られた検出結果と組み合わせることで、AWS リソースに対する自動チェックが可能になり、設定ミスの特定やセキュリティ体制の評価に役立ちます。

今すぐ無料アカウントを作成して、AWS の脆弱性評価を始めましょう。