脆弱性管理を改善する4つのマトリクスと優先順位付け

今回は「脆弱性管理を改善する4つのマトリクスと優先順位付け」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　脆弱性はセキュリティリスクであり、その内容や深刻度、影響度などを踏まえて適切に対応しなければならないが、とにかく煩雑である。そうした状況を改善する方法について、7月25～27日に開催された「ガートナー セキュリティ＆リスク・マネジメント サミット2022」で、米Gartner ディレクター アナリストのAndrew Davies氏が解説してくれた。

　脆弱性対応は、その情報が開示されると、担当者が内容を把握、理解して対処を判断する。修正プログラム（パッチ）があればその適用が望ましいが、脆弱性を抱えるシステムの利用者への影響を考慮すると、すぐには難しい。脆弱性の影響範囲や深刻度といった状況を分析しつつ、パッチ適用による問題発生の有無も検証し、適用するタイミングや方法を検討していく。パッチが用意されないケースも多く、その際には回避策による対応を考えなければならない。そもそも脆弱性自体があまり深刻でないようなら、いったん様子見をするという判断もあり得る。

　Davies氏は、脆弱性管理の担当者がこうした対応を判断する上で、膨大なレポートの山に対峙（たいじ）しなければならず、作業の負担がとても重いと指摘する。そこで同氏は、Dwight Eisenhower米元大統領の方法論を提案した。「Eisenhowerは、実はプロセスと手順に基づく最適な意思決定方法を確立した人物でもあるからだ」（Davies氏）

　その方法のポイントは、シンプルに「何が緊急か？」「何が重要か？」の2つ。ここでいう「緊急」とは今必要とされる行動であり、「重要」とは放置すればいずれ悪影響が生じる行動になるという。Eisenhowerは、この観点で縦軸に重要度、横軸に緊急度を置き、4つのマトリクスとして、左上に当たる位置から時計回りに「決定」「実行」「委任」「削除」を設定した。

　この4つのマトリクスについて、まず「決定」は、重要だが緊急ではないものになる。確実に行うものだが、急ぐべきではなく、脆弱性管理では通常のプロセスでいずれ対応すべきものが該当する。ただ、問題が顕在化する可能性をもあり、監視すべきでもある。

　2つ目は「委任」で、これも確実に行うべきものだが、必ずしも自分が行う必要はないもので、その分野の専門家に代行してもらえるものになる。脆弱性管理では、パッチの適用などが該当するという。

　3つ目が「削除」だ。これは重要でも緊急でもないもの。これを実行しようとすると、かえって無駄になり、空きリソースを消費するだけになる。脆弱性管理では、最もリスクの低い部類の事象が該当する。

　最後は「実行」で、重要かつ緊急なものになる。Davies氏は、この「実行」が最も大切だと指摘し、その担当者自身が行うべきものになると解説する。脆弱性問題では、2021年12月に発覚した「Apache Log4j」がこの事象に該当する代表例になるという。4つのマトリクスでは最も高次だが、これに該当するものの発生頻度といった数は、それほど多いわけではない。