脆弱性管理を改善する4つのマトリクスと優先順位付け

今回は「脆弱性管理を改善する4つのマトリクスと優先順位付け」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 脆弱性はセキュリティリスクであり、その内容や深刻度、影響度などを踏まえて適切に対応しなければならないが、とにかく煩雑である。そうした状況を改善する方法について、7月25~27日に開催された「ガートナー セキュリティ&リスク・マネジメント サミット2022」で、米Gartner ディレクター アナリストのAndrew Davies氏が解説してくれた。

 脆弱性対応は、その情報が開示されると、担当者が内容を把握、理解して対処を判断する。修正プログラム(パッチ)があればその適用が望ましいが、脆弱性を抱えるシステムの利用者への影響を考慮すると、すぐには難しい。脆弱性の影響範囲や深刻度といった状況を分析しつつ、パッチ適用による問題発生の有無も検証し、適用するタイミングや方法を検討していく。パッチが用意されないケースも多く、その際には回避策による対応を考えなければならない。そもそも脆弱性自体があまり深刻でないようなら、いったん様子見をするという判断もあり得る。

 Davies氏は、脆弱性管理の担当者がこうした対応を判断する上で、膨大なレポートの山に対峙(たいじ)しなければならず、作業の負担がとても重いと指摘する。そこで同氏は、Dwight Eisenhower米元大統領の方法論を提案した。「Eisenhowerは、実はプロセスと手順に基づく最適な意思決定方法を確立した人物でもあるからだ」(Davies氏)

 その方法のポイントは、シンプルに「何が緊急か?」「何が重要か?」の2つ。ここでいう「緊急」とは今必要とされる行動であり、「重要」とは放置すればいずれ悪影響が生じる行動になるという。Eisenhowerは、この観点で縦軸に重要度、横軸に緊急度を置き、4つのマトリクスとして、左上に当たる位置から時計回りに「決定」「実行」「委任」「削除」を設定した。

 この4つのマトリクスについて、まず「決定」は、重要だが緊急ではないものになる。確実に行うものだが、急ぐべきではなく、脆弱性管理では通常のプロセスでいずれ対応すべきものが該当する。ただ、問題が顕在化する可能性をもあり、監視すべきでもある。

 2つ目は「委任」で、これも確実に行うべきものだが、必ずしも自分が行う必要はないもので、その分野の専門家に代行してもらえるものになる。脆弱性管理では、パッチの適用などが該当するという。

 3つ目が「削除」だ。これは重要でも緊急でもないもの。これを実行しようとすると、かえって無駄になり、空きリソースを消費するだけになる。脆弱性管理では、最もリスクの低い部類の事象が該当する。

 最後は「実行」で、重要かつ緊急なものになる。Davies氏は、この「実行」が最も大切だと指摘し、その担当者自身が行うべきものになると解説する。脆弱性問題では、2021年12月に発覚した「Apache Log4j」がこの事象に該当する代表例になるという。4つのマトリクスでは最も高次だが、これに該当するものの発生頻度といった数は、それほど多いわけではない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
売り上げ1兆円を目指す富士ソフト、カギは新規事業と生産性向上に
IT関連
2024-04-09 12:28
NICTが2025年大阪・関西万博に向けて開発中の「多言語同時通訳」とは
IT関連
2024-07-05 13:20
「CentOS」の代替OS「AlmaLinux」、CloudLinuxが複数のサポートオプション提供
IT関連
2021-05-07 05:54
WWDC 2021で期待される発表は?iOS 15、iPadOSリニューアル、もしかしたら新Macも
イベント情報
2021-06-06 00:52
NISAとつみたてNISA、どちらが良い?–個別株投資ならNISA、少額・積み立て投資ならつみたてNISA
IT関連
2021-03-17 16:22
課題を言語化し変革を自走するコンサルティングに自信–Ridgelinezの今井CEO
IT関連
2024-04-12 21:40
香川県のゲーム規制条例、効果はあったのか? 施行から間もなく1年
IT関連
2021-03-26 05:18
広島大とNEC、COVID-19患者の情報を自動連携する仕組み構築
IT関連
2023-12-26 06:36
多数の「Linux」ディストリビューションに影響する脆弱性–パッチ適用を
IT関連
2023-10-07 06:04
VRブラウザー「Firefox Reality」、提供終了–技術はIgaliaの「Wolvic」に継承
IT関連
2022-02-08 08:03
【コラム】所有の新しいかたち、P2Pファイル共有から音楽NFTまで
IT関連
2022-02-15 03:02
「Raspberry Pi 5」を使ってみた–気になるパフォーマンスや発熱をチェック
IT関連
2023-12-03 02:05
普通のスクリーンをホログラフィックディスプレイに変えるVividQ
ハードウェア
2021-07-04 17:38
工業デザインの視点を取り入れたロボットアニメ、今秋公開 メカデザインにKEN OKUYAMA DESIGN
くらテク
2021-03-17 20:27