動的リスクスコアリング:セキュリティと自由の融合

Elements Vulnerability Managementの機能強化で、動的な脅威インテリジェンスのトレンドを活用できます

 

Reading time: 3 min

    Published

  • 22/01/2024

Rose-Maria Erkkilä, Andrew Fawcett, Craig Houston

 

お客様:

「昨日コンピューターを閉じたとき、Elementsは私の資産の1つについて、総合リスクスコアが「67/Moderate(適度)」であると報告していました。現在、同じ資産のスコアが「85/Severe(深刻)」と表示されています。昨晩から再スキャンなどは行っていません。なぜスコアが変わったのでしょうか?」

 

MSP:

「この脆弱性に対するエクスプロイトのPoC(概念実証)がインターネット上に公開されていることをウィズセキュアの脅威インテリジェンスが発見したため、Elements Vulnerability Managementが自動的にスコアを引き上げて、リスクレベルがさらに高くなったことを知らせているのです。この脆弱性に対する実際のエクスプロイトがすでに存在することをウィズセキュアが発見した場合には、スコアは再度自動的に引き上げられます。こうすることで、組織内でリスクに晒されているデバイスのリストの中でこの資産の優先順位が高くなって行き、他のデバイスよりも迅速な対処が行われます。」

「これは、影響を受けるソフトウェアは全く変わっていないにもかかわらず、特定の要因によってリスクレベルが変化するために起こります。こうすることで、お客様や私たちの注意をより早く喚起することができるのです。リスクが当初考えられていたよりも低いと判断された場合には、スコアが下がることもあります。」

 

「しかし、それだけではありません! お客様はElements Endpoint Protectionも使用しておられますから、私たちがセキュリティ設定にアウトブレイクコントロールの特別ルールを設定してあります。 リスクスコアが一定レベル以上に上昇した場合、インターネットからのインバウンド接続を停止し、脆弱なデバイスをリモートエクスプロイトから保護します。そして何より素晴らしいのは、そのサービスにパッチが適用され脆弱でなくなると、Elementsが再び、自動的にこれらの接続を許可することです。」

 

 

お客様:

「では、心配する必要はありませんね?」

 

MSP:

「ベンダーがパッチをリリースしたらすぐに問題を修正する必要がありますが、慌てる必要はありません。ウィズセキュアは常にあなたのサポートをしてくれます!」

しかし、これは実際には何を意味するのでしょうか?

すべてのデバイスや資産は組織にリスクをもたらす可能性があり、Elements Vulnerability Management(EVM)は、それらの管理を支援するように設計されています。

Asset Risk値は、企業環境において最もリスクの高い資産を特定するのに役立ちます。この値を検知された脆弱性の潜在的な影響と共に使用することで、修復作業に優先順位を付けることができます。

この例では、お客様の特定の資産(例えばCEOのラップトップや手術用機器)は、広告画面よりもビジネス上重要であるとウィズセキュアは考えています。これらのデバイスの重要度はEVM(Elements Vulnerability Management)で簡単に設定できますから、これらのビジネス上重要なデバイスに脆弱性があれば、当然リスクは高くなります。

しかし、資産に影響を与えるエクスプロイト可能な脆弱性が存在する可能性も、時間の経過とともに変化します。

たとえば脆弱な資産については、その脆弱性に対するエクスプロイトが存在する場合にはリスクが高まる可能性があります。ウィズセキュアが収集した脅威インテリジェンスデータを使用することで、最新の情報とともに現在の脅威レベルを提示することができます。

検知された脆弱性に関連してこれらの脅威インテリジェンスデータが変化すると、その情報は修正されたリスクスコアの形でEVM管理者に提示されます。脅威インテリジェンスデータがエクスプロイトの勢いが衰えたことを示すと、それに応じてスコアが自動的に引き下げられます。

EVMからこの増加したリスクレベルを使用することで、管理者は、ソフトウェアベンダがまだパッチをリリースしていない場合、サーバーのパッチを適用する優先順位を非常に迅速に決定したり、他の改善措置を講じたりすることができます。

さらに、WithSecure Elementsは緊密に統合されたエコシステムにVulnerability ManagementとEndpoint Protectionを組み合わせることができるため、Elements EPPは資産のセキュリティを自動的に向上させることができます。これは、リスクスコアの増加に反応し通常使用されるものよりもさらに厳格なセキュリティプロファイルを選択できるアウトブレイクコントロール機能によって行われます。

例えば、コンテンツ管理システム(CMS)が営業チームによって(SSOを使用して)現場からアクセスされ、公開Webサイトにはないデータにアクセスする場合を考えてみましょう。

CMSソフトウェアに脆弱性があり、リモートから悪用可能であることが判明した場合、アウトブレイクコントロールは、そのサービスをホストする資産のセキュリティプロファイルを選択し、内部ホストからのアクセスのみに制限することができます。このルールを(営業が仕事をしない)週末に有効にしておけば、翌営業日にITチームが適宜リスクを修正するためのアクションを取ることができます。

脆弱性が解決され、EVMがWebサーバーを再評価すると、リスクスコアが下がります。EPPは、その資産に以前使用されていたセキュリティプロファイルに自動的に戻し、インターネットからのアクセスも許可します。