概要
攻撃者視点での脆弱性の発見、リスク調査とエクスポージャ分析を通じたリスク評価を実施します。
実際のビジネス影響度を考慮した優先順位付けを行い、効率的なリスク対応を可能にします。
| 工程 | タスク | 作成物 |
|---|---|---|
|
STEP
1
|
計画/準備
|
|
|
STEP
2
|
ASM導入
|
|
|
STEP
3
|
エクスポージャ分析
|
|
|
STEP
4
Option
|
|
|
ASM(アタックサーフェイスマネジメント)の必要性
DX、クラウド化の推進に伴い外部公開されるIT資産が増加していることから、
近年、アタックサーフェイスマネジメント(以下、ASM)を活用した外部公開IT資産、脆弱性の管理が注目され始めています。
一方で、ASMで検知した脆弱性に対して正しい優先順位づけができていないが故に、
早急に対処すべき脆弱性を放置してしまい、そこを攻撃される可能性もあります。
脆弱性の深刻度を表す「CVSS/B」で優先順位づけを実施するケースがありますが、
実際にその脆弱性が悪用されるかどうかという観点の方が重要であり、この観点での分析がASMにおいても求められています。
-
- 悪用可能性に基づいた脆弱性の分析と正しい優先順位付けが必要です。
悪用可能性に基づく分析の重要性とは?
従来では、CVSS/Bスコアを参照に優先順位付けがされてきましたが、必ずしも実際のリスクと結びつくとは言えません。
悪用可能性に基づき優先順位付けを行うことが効果的な対処に繋がります。
従来の優先順位付け
CVSS/Bに基づく優先順位付け
一般的なASMサービスでは、CVSSと資産の重要性を組み合わせたリスク分析手法が採用されています。CVSS/Bは脆弱性の理論上の深刻度を示す一方で、実際の攻撃リスク要因や多数の脆弱性検出時の優先順位付けにおいて、より詳細な分析が求められる場合があります。
理想的な優先順位付け
悪用可能性に基づく優先順位付け
検出した脆弱性の実際の悪用可能性に基づく優先順位付けを実施することが重要です。悪用可能性の高い脆弱性は攻撃対象となる確率が高く、これに着目することで対処すべき脆弱性を効果的に絞り込むことができます。この手法により、より効率的なリスク低減が可能となります。
