パッチを当てて祈るだけではもう十分ではない：脆弱性管理の優先課題（1/2 ページ）

Information Security誌の調査によれば、米国企業のIT担当者はセキュリティ分野において、脅威と脆弱性の相関関係の分析が重要だと考えている。

[Marcia Savage，ITmedia]

膨大な作業の出発点を決める

　脆弱性の管理は常に厄介な仕事だが、企業は今年、この仕事をより的確に処理することを目指している。Information Security誌の脆弱性に関する調査でも、回答者の44％が、より多くの時間をかけて脆弱性管理に取り組むと答えており、63％が、脅威と脆弱性の相関関係の分析が重要になるとしている。

　相関関係の分析は、ソフトウェアの欠陥から、ソーシャルエンジニアリングに対する弱さという人的な要素まで、さまざまな脆弱性を抱える企業にとって有益だと、SANSインターネット・ストーム・センター（ISC）のディレクター、マーカス・サックス氏は語る。

　「すべての脆弱性をふさぐことはできないので、的を絞らなくてはならない」と同氏。「良いアプローチの1つは、脅威が発生する可能性が特に大きい脆弱性に目を向けることだ。そうすれば、気の毒にも膨大な脆弱性を解消するよう上司から指示されたシステム管理者にとって、少なくとも作業の出発点になり、目指すべき方向が見えてくる」

　サックス氏は、多くの企業が、IBMインターネット・セキュリティ・システムズやベリサイン・アイディフェンスが提供しているような脅威情報サービスを利用して、ハッカーの動向の把握に努めていると語る。

　また、攻撃の傾向を発見、分析できるハニーポットやそのほかのセンサーを独自に開発し、ハッカーの動向把握に役立てている企業もある。

　「セキュリティ対策で肝心なのはリスク管理だ。完全なセキュリティなど存在しない」とサックス氏。「リスク管理を通じてリスクのレベルを、対処していける許容可能な範囲に抑えるようにするしかない」

　ビデオ・ゲーミング・テクノロジーズのシニアネットワークエンジニア、ダン・ゴールドバーグ氏も、脅威と脆弱性の相関分析が重要だという点では同意見だが、同氏の会社ではこの分析に取り組む前に、そのための基盤を固めなければならないと語る。

　「この分析はリスク管理の一部だ」と同氏は付け加える。「リスク評価はわたしにとって2008年の優先課題になるだろう」