リスクベース脆弱性管理（RBVM：Risk-Based Vulnerability Management）とは？

リスクベース脆弱性管理の定義

「リスクベース脆弱性管理（RBVM：Risk-Based Vulnerability Management）」は、ITインフラ、システム、アプリケーションに存在する脆弱性を継続的に監視・修復する点では従来の脆弱性管理と同様ですが、そこにとどまりません。RBVMは、「コンテキストに基づくアプローチ」を取り入れることで、セキュリティチームが脆弱性のリスクを理解し、「自組織にとって本当に重要なものから優先的に対処」できるようにします。

RBVMは、脆弱性が実際に組織のリスクとなるかどうかを、「露出状況」「悪用可能性」「ビジネスクリティカルなアプリケーションへの影響」といった観点から判断します。これにより、セキュリティチームの作業負荷を軽減し、対応の効率を高めます。

一方、従来の脆弱性管理は、組織への影響有無にかかわらず大量のアラートを発生させ、チームを圧迫しがちです。従来型の手法は、セキュリティ上の脆弱性や設定ミスを特定・修正することに重点を置き、「リスクの大きさよりも修正件数の多さ」に焦点が当たる傾向があります。

リスクベース脆弱性管理が重要な理由

多くの組織はすでに脆弱性管理プログラムを導入していますが、膨大な数の未対応脆弱性によって、かえって新たな課題を生んでいるケースも少なくありません。実際に、あるSysdigの顧客では、単一の環境だけで7万4,000件以上の重大な脆弱性が検出されていました。

リスクや文脈を考慮せずに、これらすべてに対応するのは、セキュリティチームにとって現実的ではありません。現代の攻撃対象領域は非常に動的で、一時的（エフェメラル）なワークロードも多く存在します。脆弱性が悪用される可能性は、脅威アクターが防御や制御をすり抜ける方法を探す中で、刻々と変化します。

そのため、RBVMは従来の脆弱性管理を置き換えるものではなく、それを次のレベルへ引き上げ、価値を高めるためのアプローチです。RBVMを導入することで、組織は自社に実際の影響を与え得る重大な脆弱性が、適切なタイミングで確実に修復されているという確信を持つことができます。

セキュリティチームやDevOpsチームは、存在するすべての脆弱性を修正することはできません。しかし、適切な優先順位付けによって、「今すぐ対応すべきもの」と「後回しにできるもの」を明確に判断できるようになります。

リスクベース脆弱性管理と従来の脆弱性管理の違い

従来の脆弱性管理は、RBVMと比べて本質的に劣っているわけではありません。ただし、どの脆弱性を優先的に対処すべきかを判断するうえで、セキュリティチームを十分に支援できていないという課題があります。多くの場合、組織に対して「対応すべき脆弱性の長い一覧」を提示するにとどまります。

従来の脆弱性管理は、脆弱性スキャンに重点を置き、**CVSS（共通脆弱性評価システム）やNVD（米国国立脆弱性データベース）**に基づいた基本的な優先順位付けを行ってきました。CVSSやNVDは、脆弱性の複雑性、悪用可能性、想定される影響などを基に分類します。これらは確かに有用ですが、組織固有の状況に即した判断という点では十分とは言えません。

一方、リスクベース脆弱性管理（RBVM）は、こうしたスコアリングをさらに発展させ、文脈とリスクに基づく優先順位付けを行います。これにより、セキュリティチームは「今すぐ対処すべき脆弱性」と「後回しにできる脆弱性」を明確に理解できます。すべての脆弱性を即座に修復する必要はなく、組織に影響を与えないものまで同時に対応する必要はないという考え方がRBVMの特徴です。

リスクベース脆弱性管理のメリット

リスクベース脆弱性管理のメリットには、以下が含まれます。.

• 事後対応から予防型へ：RBVMにより、セキュリティチームは新たな重大脆弱性に追われるだけの対応から脱却し、本当に重要な脆弱性に集中して対処できるため、新たなリスクにもより備えやすくなります。
• 低リスクノイズの削減：アラート疲れは多くのセキュリティチームに影響しますが、RBVMでは文脈に基づく優先順位付けにより、ビジネス上重要な脆弱性を即座に対応し、低リスクなものは後回しにできます。
• セキュリティとビジネスの整合：RBVMは、セキュリティ施策をビジネス上の優先事項と一致させることを支援します。さらに、CISOや取締役会に対する修復状況の報告も、より明確で分かりやすくなります。
• リスク露出の低減：ビジネスへの潜在的な影響に基づいて修復すべき脆弱性を把握できるため、ITインフラ、システム、アプリケーションをより効果的に保護できます。

リスクベース脆弱性管理の課題

• 十分な資産インベントリの確保：RBVMは可視化できている範囲しか保護できません。そのため、組織のITインフラ全体を把握できる可視性が必要です。動的なクラウド環境や一時的（エフェメラル）なワークロードの存在により、これが難しくなることがあります。すべての環境において資産を網羅的に把握し、シャドーITも含めて発見できる体制が求められます。
• CISOや経営層からの適切な理解と支持：修正した脆弱性の件数を示すことは一見すると成果が大きく見えますが、それが必ずしもビジネス資産の安全性向上を意味するわけではありません。RBVMへの移行では、修正件数が少なく見える場合でも、それがビジネス要件により適合した脆弱性対応であることを説明し、理解を得る必要があります。‍
• 所有権と責任の不明確さ：脆弱性やリスクの文脈や優先順位を把握できても、実際に修復を行う担当者がいなければ意味がありません。RBVMを効果的に機能させるためには、セキュリティチームとDevOpsチームが連携し、必要に応じて確実に修復を実行する体制が不可欠です。

脆弱性管理を正しいやり方で進めるための実践ガイド

ホワイトペーパーをダウンロード

リスクベース脆弱性管理の主要コンポーネント

RBVMは、従来の脆弱性管理の要素を多く含みつつ、より正確に重要な脆弱性を特定するために、以下の要素を追加します。

• 資産の分類：ビジネス上の優先度が高い資産とそうでない資産を明確にし、RBVMツールやセキュリティチームが、何を重点的に保護すべきかを理解できるようにします。
• 脅威インテリジェンス：脅威インテリジェンスを統合することで、現在悪用されている脆弱性や新たに出現した脆弱性を把握し、優先的に対応すべきリスクを判断できるようにします。
• リスクスコアリング：重要な資産や潜在的な脅威に関するテレメトリを収集したうえで、CVSSに加えてリスクコンテキストを組み込んだスコアリングを行い、ビジネスに影響を与える脆弱性を正確に把握します。コンテキストには、対象が稼働中のアプリケーションや本番環境かどうか、関与するデータの機密性などが含まれます。
• 自動化機能：ワークフローを自動化できる脆弱性管理ツールを導入することで、チームやリソースの負担を軽減します。これにより、脆弱性の手動タグ付けに費やす時間を減らし、実際のリスク修復に集中できます。
• 継続的な監視：新たな脆弱性を継続的に監視することで、平均解決時間（MTTR）を短縮するとともに、脆弱性管理プログラム自体の有効性を継続的に調整・改善できます。

リスクベース脆弱性管理のしくみ

RBリスクベース脆弱性管理（RBVM）は、基本的な流れは従来の脆弱性管理と同様ですが、文脈と優先順位付けを加える点が大きな違いです。まず、セキュリティチーム、DevOpsチーム、そしてリーダー層が協力し、ビジネス上の優先事項に最も関係する資産やシステムを明確にします。

次に、脅威インテリジェンスを活用し、脅威アクターが現在どの脆弱性を実際に悪用しているのかといった追加情報を把握します。

その後、すべてのITインフラ、資産、アプリケーションを対象に定期的な脆弱性スキャンを実施し、どこにセキュリティリスクが存在するのかを明らかにします。この段階では、各脆弱性の一般的な深刻度を把握するために、従来どおりCVSSなどのスコアリングも活用されます。

そこから、セキュリティチームまたはRBVMツールが、自組織への潜在的な影響に基づいて重要な脆弱性に追加のコンテキストを付与します。この文脈情報によって、今すぐ対応すべき脆弱性と、後回しにできる脆弱性を判断できるようになります。

例えば、CVSSではJavaの脆弱性が重大と評価された場合でも、追加のコンテキストにより、組織の本番ワークロードがGoで動作していることが分かれば、その脆弱性は実質的に影響がなく、少なくとも優先度を下げて対応できます。一方で、本番ワークロードやビジネスクリティカルな資産に影響を与える脆弱性は、最優先で修復すべき対象となります。

そして従来の脆弱性管理と同様に、RBVMは継続的な監視を行い、新たな脆弱性や脅威を発見し続けます。これにより、変化の激しい環境においても、常に適切な優先順位で脆弱性対応を進めることが可能になります。

Sysdigでリスクに文脈と優先順位を

リスクベース脆弱性管理は、セキュリティチームがノイズを排除し、自組織にとって本当に重要な脆弱性を見極めることを支援します。すべての脆弱性が組織にとってリスクとなるわけではなく、文脈の理解が不可欠です。

Sysdigの脆弱性管理は、単に脆弱性を検出するだけでなく、ランタイムの文脈を取り入れることで、露出状況、悪用可能性、到達可能性といったリスク要因を把握します。これにより、最もリスクの高い脆弱性に集中して対処できるようになります。