5.3 発見したIT資産・脆弱性情報への対応プロセスの検討 #
ここでは、ASMによって発見されたIT資産・脆弱性情報への対応プロセスにおいて、想定される対応内容や事前に検討しておくべきポイントについて記載します。
発見されたIT資産に対する対応プロセスについて #
ASMを運用していく中で、当然いままで把握していなかった新たなIT資産を発見する可能性があります。ただし、ASMツールが発見したIT資産の中には誤情報が含まれている可能性があります。そのため、新たに発見した資産が、自組織もしくはスコープ内の関連会社などと本当に関係しているものであるか、確認を行う必要があります。
本対応プロセスについては、以下のような点を事前に検討しておく必要があります。
関係ない資産情報の除外 #
例えば明らかに自組織と関係ない情報などは他部門に確認を依頼する前に、運用側で除外しておく必要があります。そのため、そのような情報を除外するために確認が必要な項目や行う確認作業の内容について取り決めておくべきです。
確認を依頼する部門ごとの連絡先や依頼する情報について #
新たに発見した資産の管理者や詳細を把握するためには、会社の他部門に確認を依頼する必要があります。企業規模が大きかったり、複数の拠点が存在する会社などでは、このプロセスにおいて情報を把握するまでに苦労する可能性があります。そのため、他部門への連絡窓口・依頼内容・要求する情報などについて事前に検討しておくべきです。また、対応を円滑に進めるためにも本プロセスにおける関係者に対して、あらかじめASMの運用について事前に説明を行い上手く連携できるように備えることを推奨します。
発見された脆弱性に対する対応プロセスについて #
ASMを運用していく中で、保有するIT資産の脆弱性が発見される可能性があります。IT資産と同様にこの脆弱性情報についても誤情報が含まれている可能性があるため精査が必要です。また、実際に脆弱性が存在した場合には、資産を保有する部門への対応依頼の連絡や対応状況を追跡していく必要があります。
本対応プロセスについては、以下のような点を事前に検討しておく必要があります。
明らかな誤検知の除外 #
明らかに誤検知と判定できる脆弱性情報については、確認・対応を依頼する前に除外する必要があります。担当部門に確認を依頼する前に、運用側で最低限確認が必要な項目や行う確認作業の内容について取り決めておきましょう。
対応優先度について #
検出した脆弱性の内容や資産の重要度などに応じて、脆弱性への対応優先度は異なります。そのため、対応優先度や対応期限などのルールについてあらかじめ定義しておく必要があります。社内ですでに脆弱性への対応ルールが存在している場合には、その内容を踏襲するべきでしょう。
攻撃者の目的は多岐に渡りますが、多くの場合は内部ネットワークに侵入することを最初のステップにしています。ASMの目的のひとつは外部と内部を繋ぐ箇所の弱点をあらかじめ可視化することにより、攻撃者から見える弱点を防ぐ機会を作ることです。すなわち脆弱性の対応優先度についても外部からの攻撃のしやすさという観点が盛り込まれていることが望ましいと言えます。
確認・対応の依頼について #
IT資産の管理者に対して発見した脆弱性に対する対応を依頼します。脆弱性の存在が確実である場合には修正対応を依頼し、可能性である場合には該当の脆弱性が実際に存在するかの確認を依頼する必要があります。本プロセスにおける依頼内容や要求する情報などについて事前に検討しておきましょう。
脆弱性対応の追跡について #
確認・対応の依頼を行った結果、発見された脆弱性がどのようなステータスとなっているかを管理・追跡していく必要があります。例えば、修正対応を依頼したにも関わらず、対応期日までに脆弱性の修正が確認できていない場合などには、状況について確認する必要があるでしょう。 本プロセスにおける管理の方法・必要となる情報・対応内容などについて事前に検討しておきましょう。
なお、本プロセスにおける脆弱性対応の優先付けや取り組み方については「脆弱性診断士スキルマッププロジェクト」より公開している以下のドキュメントが参考となります。
脆弱性トリアージガイドライン作成の手引き