脆弱性管理を改善する4つのマトリクスと優先順位付け

今回は「脆弱性管理を改善する4つのマトリクスと優先順位付け」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 脆弱性はセキュリティリスクであり、その内容や深刻度、影響度などを踏まえて適切に対応しなければならないが、とにかく煩雑である。そうした状況を改善する方法について、7月25~27日に開催された「ガートナー セキュリティ&リスク・マネジメント サミット2022」で、米Gartner ディレクター アナリストのAndrew Davies氏が解説してくれた。

 脆弱性対応は、その情報が開示されると、担当者が内容を把握、理解して対処を判断する。修正プログラム(パッチ)があればその適用が望ましいが、脆弱性を抱えるシステムの利用者への影響を考慮すると、すぐには難しい。脆弱性の影響範囲や深刻度といった状況を分析しつつ、パッチ適用による問題発生の有無も検証し、適用するタイミングや方法を検討していく。パッチが用意されないケースも多く、その際には回避策による対応を考えなければならない。そもそも脆弱性自体があまり深刻でないようなら、いったん様子見をするという判断もあり得る。

 Davies氏は、脆弱性管理の担当者がこうした対応を判断する上で、膨大なレポートの山に対峙(たいじ)しなければならず、作業の負担がとても重いと指摘する。そこで同氏は、Dwight Eisenhower米元大統領の方法論を提案した。「Eisenhowerは、実はプロセスと手順に基づく最適な意思決定方法を確立した人物でもあるからだ」(Davies氏)

 その方法のポイントは、シンプルに「何が緊急か?」「何が重要か?」の2つ。ここでいう「緊急」とは今必要とされる行動であり、「重要」とは放置すればいずれ悪影響が生じる行動になるという。Eisenhowerは、この観点で縦軸に重要度、横軸に緊急度を置き、4つのマトリクスとして、左上に当たる位置から時計回りに「決定」「実行」「委任」「削除」を設定した。

 この4つのマトリクスについて、まず「決定」は、重要だが緊急ではないものになる。確実に行うものだが、急ぐべきではなく、脆弱性管理では通常のプロセスでいずれ対応すべきものが該当する。ただ、問題が顕在化する可能性をもあり、監視すべきでもある。

 2つ目は「委任」で、これも確実に行うべきものだが、必ずしも自分が行う必要はないもので、その分野の専門家に代行してもらえるものになる。脆弱性管理では、パッチの適用などが該当するという。

 3つ目が「削除」だ。これは重要でも緊急でもないもの。これを実行しようとすると、かえって無駄になり、空きリソースを消費するだけになる。脆弱性管理では、最もリスクの低い部類の事象が該当する。

 最後は「実行」で、重要かつ緊急なものになる。Davies氏は、この「実行」が最も大切だと指摘し、その担当者自身が行うべきものになると解説する。脆弱性問題では、2021年12月に発覚した「Apache Log4j」がこの事象に該当する代表例になるという。4つのマトリクスでは最も高次だが、これに該当するものの発生頻度といった数は、それほど多いわけではない。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
東芝のトップが語るデジタル事業の現在–先端開発や事例の数々を披露
IT関連
2023-12-01 18:56
ビックカメラ、最新Apple Watchを5500円割引セール実施中
IT関連
2021-08-08 13:32
トランプ前大統領、Facebook、Twitter、Google(YouTube)とそのCEOを提訴
企業・業界動向
2021-07-09 02:24
5年保管できるマスク、ユニ・チャームが発売 通常は3年が目安
くらテク
2021-08-11 15:08
【コラム】DXを「エシカル」にリードする方法、倫理優先の考え方は従業員と利益を守る
その他
2021-06-21 11:16
AmazonにGDPR侵害で7億4600万ユーロ(約971億円)の罰金 過去最高
企業・業界動向
2021-08-03 15:00
KDDI、通信網と請求管理の中継システムをクラウド化–オラクルとNECで実施
IT関連
2024-02-11 11:45
双日、農業プラットフォーム事業に参入–AIによる衛星画像を活用
IT関連
2024-08-31 20:03
日立ら、設備ごとに再エネ利用100%を認定する委員会設立–業界の整備目指す
IT関連
2022-12-15 00:04
クアルトリクス、今後5年間で日本に1億ドル超投資–ローカライズなど推進
IT関連
2024-07-26 00:14
【コラム】オープンバンキングが普及し、フィンテックと中小企業の蜜月が始まる
フィンテック
2021-08-11 10:48
生成AIがローコード/ノーコード開発テクノロジーを補完し始めているとIDC Japanが指摘。国内ローコード/ノーコード開発テクノロジー市場予測
ローコード/ノーコード開発
2024-11-28 20:48
デロイト、中央大サッカー部・バスケ部と共同研究–データ分析で競争力向上を支援
IT関連
2022-07-06 18:53
ウイングアーク1st、電子契約サービス提供–ペーパーレス化と内部統制強化が可能に
IT関連
2021-08-23 17:06