ニュース
» 2008年05月28日 09時19分 UPDATE

脆弱性管理の優先課題:パッチを当てて祈るだけではもう十分ではない (1/2)

Information Security誌の調査によれば、米国企業のIT担当者はセキュリティ分野において、脅威と脆弱性の相関関係の分析が重要だと考えている。

[Marcia Savage,ITmedia]

膨大な作業の出発点を決める

 脆弱性の管理は常に厄介な仕事だが、企業は今年、この仕事をより的確に処理することを目指している。Information Security誌の脆弱性に関する調査でも、回答者の44%が、より多くの時間をかけて脆弱性管理に取り組むと答えており、63%が、脅威と脆弱性の相関関係の分析が重要になるとしている。

 相関関係の分析は、ソフトウェアの欠陥から、ソーシャルエンジニアリングに対する弱さという人的な要素まで、さまざまな脆弱性を抱える企業にとって有益だと、SANSインターネット・ストーム・センター(ISC)のディレクター、マーカス・サックス氏は語る。

 「すべての脆弱性をふさぐことはできないので、的を絞らなくてはならない」と同氏。「良いアプローチの1つは、脅威が発生する可能性が特に大きい脆弱性に目を向けることだ。そうすれば、気の毒にも膨大な脆弱性を解消するよう上司から指示されたシステム管理者にとって、少なくとも作業の出発点になり、目指すべき方向が見えてくる」

 サックス氏は、多くの企業が、IBMインターネット・セキュリティ・システムズやベリサイン・アイディフェンスが提供しているような脅威情報サービスを利用して、ハッカーの動向の把握に努めていると語る。

 また、攻撃の傾向を発見、分析できるハニーポットやそのほかのセンサーを独自に開発し、ハッカーの動向把握に役立てている企業もある。

 「セキュリティ対策で肝心なのはリスク管理だ。完全なセキュリティなど存在しない」とサックス氏。「リスク管理を通じてリスクのレベルを、対処していける許容可能な範囲に抑えるようにするしかない」

 ビデオ・ゲーミング・テクノロジーズのシニアネットワークエンジニア、ダン・ゴールドバーグ氏も、脅威と脆弱性の相関分析が重要だという点では同意見だが、同氏の会社ではこの分析に取り組む前に、そのための基盤を固めなければならないと語る。

 「この分析はリスク管理の一部だ」と同氏は付け加える。「リスク評価はわたしにとって2008年の優先課題になるだろう」

       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

「ITmedia エグゼクティブ」新規入会キャンペーン実施中!!  旅行券(5万円)をプレゼント!

「ITmedia エグゼクティブ」は上場企業および上場相当企業の課長職以上の方が約5500人参加している無料の会員制サービスです。
 会員の皆さまにご参加いただけるセミナーや勉強会などを通じた会員間の交流から「企業のあるべき姿」「企業の変革をつかさどるリーダーとしての役割」などを多角的に探っていきます。
 新規でご入会いただいた方の中から抽選でお1人さまに、JTB旅行券(5万円)をプレゼントします。初秋の旅で、日頃の疲れをいやしていただければと選びました。どうぞご応募ください。

ピックアップコンテンツ

- PR -
世界基準と日本品質を極める Clients First with Innovation & Japan Quality

アドバイザリーボード

早稲田大学商学学術院教授

根来龍之

早稲田大学大学院国際情報通信研究科教授

小尾敏夫

株式会社CEAFOM 代表取締役社長

郡山史郎

株式会社プロシード 代表取締役

西野弘

明治学院大学 経済学部准教授

森田正隆