脆弱性管理とは何ですか?

脆弱性管理プロセスには、脆弱性の特定、評価、処理、管理、および報告が含まれます。脆弱性管理は組織のサイバーセキュリティプログラムの不可欠な部分であり、新たなセキュリティ問題からの保護を強化するには、継続的な監視と改善が必要です。リスクベースの脆弱性管理を採用している組織は、クラウドインフラストラクチャをよりプロアクティブに、また正確かつ意図的に保護することができます。 

効果的な脆弱性管理戦略は、組織が既存および新たな脅威を迅速に監視、特定、対応するのに役立ちます。効果的な戦略により、組織は脅威軽減とインシデント対応計画を可視化することで、業務の中断を減らすことができます。脆弱性管理に対するこのアプローチは、利害関係者の利益を保護し、規制遵守を支援し、組織の評判に対する信頼を築くために不可欠です。

ただし、クラウド内のセキュリティ脆弱性を管理するには、従来の脆弱性管理方法とは異なるアプローチが必要です。現代のクラウド環境は、従来のオンプレミスアーキテクチャよりも複雑であるため、脆弱性に対処するには異なるアプローチが必要です。 

AWS では、クラウドセキュリティの向上に役立つさまざまなマネージドサービスとツールを提供しています。次に例を示します。

• AWS Identity and Access Management (IAM) を使用して、AWS サービスにアクセスするユーザーとワークロードのアクセス制御を規制します。
• ワークロードをデプロイする場所を選択することで、データ主権を維持できます。たとえば、AWS 専有ローカルゾーンでは、選択した場所にデプロイすることで、データレジデンシーの要件を満たすことができます。
• AWS ウェブアプリケーションファイアウォール (WAF) を使用して、デプロイされたウェブアプリケーションに関連するセキュリティリスクを監視、ブロック、軽減します。

AWS クラウドセキュリティサービスを使用すると、責任分担モデルに沿ったセキュリティの向上、リスクの管理、コンプライアンスの支援を行うことができます。脆弱性管理は責任共有モデルの一部です。

ワークロードを脆弱性から保護する場合、組織全体で可視化することで、イベントの迅速な検出と対応が可能になり、セキュリティ計画が容易になります。AWS Security Hub などのソリューションを使用すると、組織とセキュリティ体制を一元的に把握できるため、クラウド内の大規模なセキュリティ脅威の調整、優先順位付け、対応が可能になります。Security Hub は、リスクの優先順位付け、脅威シグナルの関連付け、AWS の保護対象資産の継続的な監視を可能にすることで、リスクベースの脆弱性管理をサポートします。

セキュリティの管理はアーキテクチャの計画から始まり、クラウドにワークロードをデプロイした後も継続されます。脆弱性管理プログラムの作成に役立つ手順は次のとおりです。

1.脆弱性管理計画を策定

脆弱性管理計画は、未知の脆弱性と既知の脆弱性の両方を軽減するための目標、範囲、責任の概要を示しています。脆弱性管理計画は、セキュリティチーム、従業員、その他の利害関係者が脆弱性に対処する際に予測可能な方法で行動するのに役立ちます。

脆弱性管理計画を策定するには、以下を含める必要があります。

• 重大度に基づいて脆弱性を分類する方法
• 資産監視、脅威検出、インシデント対応に使用する脆弱性管理ツール
• セキュリティチームがそれぞれのリスクカテゴリーで遵守しなければならない目標解決時間
• セキュリティに関する洞察、未解決の問題、コンプライアンス状況を提供するための報告要件
• 組織全体の説明責任と責任を促進するためのガバナンスワークフロー

2.脆弱性スキャンを実装

脆弱性スキャンは、セキュリティチームがデジタル資産の既知および新たなセキュリティ上の欠陥を特定するのに役立ちます。脆弱性スキャナーは、脅威アクターが悪用する可能性のある脆弱性がないか、アプリケーション、ネットワーク、およびインフラストラクチャを分析します。

以下を含むさまざまなデジタル資産の脆弱性スキャンを自動化できます。

• 適用
• ネットワーク設定
• クラウドインフラストラクチャ
• サーバーとコンピュータシステム
• エンドポイントデバイス

たとえば、AWS クラウドでは、Amazon Inspector がコンピューティングインスタンス、コードリポジトリ、コンテナイメージ、その他のワークロードタイプを自動的にスキャンして脆弱性がないか調べます。Amazon Inspector、AWS Systems Manager、AWS Security Hub を使用して、公開されている脆弱性を特定して対応することができます。

3.リスクベースの脆弱性管理プロセスを確立

次に、特定された脆弱性を特定、優先順位付け、修正するためのワークフローを作成します。さらに、脆弱性を管理する際には、運用環境、潜在的な影響、影響を受けるワークロードを考慮してください。脆弱性の重大度はさまざまであり、その結果、ビジネスや運用の成果にさまざまな規模で影響を与える可能性があるため、このトリアージステップは役に立ちます。

リスク評価を実施するには、共通脆弱性スコアリングシステム (CVSS) などの標準スコアリングシステムをリスク要因を評価するためのガイドとして使用できます。標準化されたフレームワークを使用することで、発見されたリスクを軽減するために、目標の解決スケジュールに沿って作業しながら、リソースを最適に割り当てることができます。たとえば、ユーザー認証モジュールの脆弱性は、リスクが低いと分類されていても、不正アクセスを防ぐために早急に対処できるようにエスカレーションする必要があります。

4.パッチ管理を設定

パッチ管理は、組織の脅威にさらされている領域全体のセキュリティリスクを管理するために不可欠です。パッチ管理ツールは、ベンダーからセキュリティパッチとソフトウェアアップデートを自動的にダウンロードし、デプロイされたソフトウェアに適用します。パッチ管理ソフトウェアを自動化すれば、既知の脆弱性や潜在的な脆弱性がより重大なリスクをもたらす前に修正することで、セキュリティの抜け穴を塞ぐことができます。

たとえば、AWS では、AWS Systems Manager Patch Manager を使用してパッチ管理を自動化できます。パッチマネージャーは、Amazon Elastic Compute Cloud (EC2) インスタンス、エッジデバイス、オンプレミスデバイス、および仮想マシンにセキュリティパッチを適用できます。地域、承認ガイドライン、およびスケジュールされた時間に従ってセキュリティパッチを適用するパッチポリシーを設定できます。

注: 組織全体に適用する前に、パッチを少数のデバイスに展開することを検討してください。このアプローチにより、パッチが安定していて、運用に望ましくない影響がないことを確認できます。

5.マルウェア保護を設定

監視されていない環境では、悪意のあるプログラムやマルウェアがデバイスに感染する可能性があります。マルウェアの感染を防ぐには、AWS GuardDuty などのマルウェア保護機能をインストールしてください。

人工知能と機械学習を活用した AWS GuardDuty では、トロイの木馬、ワーム、クリプトマイナー、ルートキット、ボットなどのマルウェアの検出結果を分析、検出、エスカレーションできます。さらに、修正作業を容易にするために、すべての検出を AWS Security Hub に送ることができます。

6.CI/CD パイプラインに脆弱性スキャンを統合

コーディングエラー、不適切なセキュリティチェック、安全でないサードパーティコンポーネントの使用により、開発中にアプリケーションに脆弱性が入り込む可能性があります。検出されないままにしておくと、セキュリティ上の欠陥が本番環境に侵入し、修正のコストが高くなる可能性があります。このような複雑さを避けるには、AWS CodeGuru などのツールを使用してソフトウェア開発ライフサイクルの早い段階でコードの脆弱性をスキャンして、セキュリティを左にシフトしてください。

AWS CodeGuru は、ソフトウェアチームが脆弱性をより効果的に特定して修正できるようにする静的アプリケーションセキュリティテストツール (SAST) です。CodeGuru を CI/CD ワークフローに簡単に統合して、機械学習を活用した自動推論を使用してセキュリティの弱点を自動的に検出できます。

7.セキュリティ監視サービスを設定

セキュリティチームは、脅威やインシデントに効果的に対応するために、組織のインフラストラクチャ、ネットワーク、ワークロードを全体的に把握する必要があります。手動でスキャンを行ってセキュリティ検出結果をエスカレーションする代わりに、AWS Security Hub などの統合セキュリティモニタリングサービスを使用してクラウドセキュリティワークフローを合理化するのがベストプラクティスです。

AWS Security Hub をデプロイすることで、標準化されたセキュリティフレームワークに基づく自動チェックを通じてクラウドの耐障害性を向上させることができます。AWS Security Hub は他の AWS サービスと統合され、脅威の特定、封じ込め、対応を迅速に行えます。AWS Security Hub を使用すると、即時の脆弱性管理アクションの概要を把握し、脆弱性の検出から修復までの時間を短縮できます。

8.Web アプリケーションペネトレーションテストを実装

ペネトレーションテストにより、セキュリティ上の欠陥を積極的に特定し、それが組織に与える影響を評価できます。ウェブアプリケーションペネトレーションテストでは、サイバーセキュリティの専門家が意図的かつ的を絞って、導入されたウェブアプリケーションの既存のセキュリティ対策を評価します。次に、結果を文書化し、最も重要な脆弱性に優先順位を付け、緩和策を実行します。

注: AWS でアプリケーションを構築、テスト、デプロイする場合は、許可されたサービスに対するペネトレーションテストを実施して、ウェブアプリケーション全体のセキュリティを検証および改善できます。

9.Infrastructure as Code で自動化

複雑なクラウド環境の保護は、Infrastructure as Code (IaC) サービスを使用すると管理しやすくなります。クラウドリソースを手動でプロビジョニングすると、インフラストラクチャのセキュリティに影響を与える可能性のあるクラウド設定エラーのリスクが高まります。

クラウドインフラストラクチャを手動でプロビジョニングする代わりに、AWS CloudFormation などの IaC ツールを使用して、コンピューティングリソースの割り当て、サービスの設定、およびその他のクラウド管理タスクを自動化します。CloudFormation を使用すると、設定ミスのリスクを軽減しながら、一貫して制御された方法でAWS ワークロードをスケーリングできます。 

効果的な脆弱性管理ソリューションを実現するには、新たなリスクを軽減するための継続的な監視と改善が必要です。セキュリティチームは、脅威インテリジェンスに基づいて、脅威の状況に合わせてセキュリティアプローチを改良します。

Amazon GuardDuty などの脅威識別ツールは、AWS アカウント、ワークロード、データ全体の脅威を迅速に特定、分析、対応するのに役立ちます。Amazon GuardDuty では、ワークロードをエンドツーエンドで可視化できるため、手動で操作しなくてもセキュリティへの取り組みを拡大できます。

さらに、主な利害関係者には、継続的な報告を通じて、セキュリティ評価、インシデント、および修復状況について知らせる必要があります。タイムリーなレポートにより、組織は情報に基づいた意思決定を行い、脅威の拡大を防ぐことができます。 

脆弱性管理は、クラウドで安全にイノベーションを進めようとする組織の取り組みを支援するために不可欠です。包括的な脆弱性管理システムは、サイバー脅威から生じる業務の中断、経済的損失、評判の低下を防ぐのに役立ちます。AWS では、脆弱性管理は、階層型セキュリティ対策の基礎となる責任共有モデルを理解することから始まります。

クラウドセキュリティ、ID、コンプライアンスを使用して脆弱性管理を改善するその他の方法については、こちらをご覧ください。