脆弱性管理を改善する4つのマトリクスと優先順位付け

今回は「脆弱性管理を改善する4つのマトリクスと優先順位付け」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 脆弱性はセキュリティリスクであり、その内容や深刻度、影響度などを踏まえて適切に対応しなければならないが、とにかく煩雑である。そうした状況を改善する方法について、7月25~27日に開催された「ガートナー セキュリティ&リスク・マネジメント サミット2022」で、米Gartner ディレクター アナリストのAndrew Davies氏が解説してくれた。

 脆弱性対応は、その情報が開示されると、担当者が内容を把握、理解して対処を判断する。修正プログラム(パッチ)があればその適用が望ましいが、脆弱性を抱えるシステムの利用者への影響を考慮すると、すぐには難しい。脆弱性の影響範囲や深刻度といった状況を分析しつつ、パッチ適用による問題発生の有無も検証し、適用するタイミングや方法を検討していく。パッチが用意されないケースも多く、その際には回避策による対応を考えなければならない。そもそも脆弱性自体があまり深刻でないようなら、いったん様子見をするという判断もあり得る。

 Davies氏は、脆弱性管理の担当者がこうした対応を判断する上で、膨大なレポートの山に対峙(たいじ)しなければならず、作業の負担がとても重いと指摘する。そこで同氏は、Dwight Eisenhower米元大統領の方法論を提案した。「Eisenhowerは、実はプロセスと手順に基づく最適な意思決定方法を確立した人物でもあるからだ」(Davies氏)

 その方法のポイントは、シンプルに「何が緊急か?」「何が重要か?」の2つ。ここでいう「緊急」とは今必要とされる行動であり、「重要」とは放置すればいずれ悪影響が生じる行動になるという。Eisenhowerは、この観点で縦軸に重要度、横軸に緊急度を置き、4つのマトリクスとして、左上に当たる位置から時計回りに「決定」「実行」「委任」「削除」を設定した。

 この4つのマトリクスについて、まず「決定」は、重要だが緊急ではないものになる。確実に行うものだが、急ぐべきではなく、脆弱性管理では通常のプロセスでいずれ対応すべきものが該当する。ただ、問題が顕在化する可能性をもあり、監視すべきでもある。

 2つ目は「委任」で、これも確実に行うべきものだが、必ずしも自分が行う必要はないもので、その分野の専門家に代行してもらえるものになる。脆弱性管理では、パッチの適用などが該当するという。

 3つ目が「削除」だ。これは重要でも緊急でもないもの。これを実行しようとすると、かえって無駄になり、空きリソースを消費するだけになる。脆弱性管理では、最もリスクの低い部類の事象が該当する。

 最後は「実行」で、重要かつ緊急なものになる。Davies氏は、この「実行」が最も大切だと指摘し、その担当者自身が行うべきものになると解説する。脆弱性問題では、2021年12月に発覚した「Apache Log4j」がこの事象に該当する代表例になるという。4つのマトリクスでは最も高次だが、これに該当するものの発生頻度といった数は、それほど多いわけではない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
サムスン、3nmチップの量産を開始
IT関連
2022-07-02 22:35
UberがドライバーにRosetta Stoneの語学レッスンを無料で提供へ
シェアリングエコノミー
2021-07-31 15:45
東京都港区、行政手続きのデジタル化を目指して窓口総合支援システムを導入
IT関連
2021-03-13 15:04
南アフリカの自動車サブスクリプション会社Planet42がカーボンニュートラルを目指す理由
EnviroTech
2021-05-30 08:38
モバイルゲームの現金トーナメントという未来に賭けるRyu Gamesが2.5億円調達
ゲーム / eSports
2021-03-27 18:56
動画配信サービスCBS All Accessの後継Paramount+が米国・カナダ・中南米で2021年3月4日開始
ネットサービス
2021-01-23 11:26
「学校の机、PC置くと狭すぎ」問題解決へ 「天板拡張くん」登場
くらテク
2021-03-10 03:16
ZホールディングスとLINEが戦略方針説明会、AIに5年間で5000億円投資し4つの集中領域に取り組む
ネットサービス
2021-03-03 03:41
64ビット版「Raspberry Pi OS」、正式リリース
IT関連
2022-02-06 10:16
東北大学、2050年の超高齢化社会を見据えた次世代介護ロボット研究開発拠点「青葉山リビングラボ」をオープン
IT関連
2022-02-17 18:08
手作業で膨大なデータを分析→クラウド基盤を整備 データ活用で営業活動の精度が誤差0.015%に
PR
2021-08-04 12:17
グーグル「従来の無償版G Suite」、非営利目的で利用継続可能に
IT関連
2022-05-18 02:53
Excel方眼紙をアプリ化するローコード・ノーコードツール「Forguncy」、どこまでちゃんと業務アプリケーションが作れるのか? 実例を見てみる[PR]
Forguncy
2021-06-14 23:00
アプリで集めたデータで「生物予報」という新たな社会インフラを、京大発の「バイオーム」が描く未来
EnviroTech
2021-06-30 06:41