ほぼすべての銀行が脆弱性の管理に頭を悩ませています。当銀行も例外ではありません。 当行は脆弱性に埋もれ、どれを最初に修正するか見極めるという課題に直面していました。IBM® X-Force Redのベテランハッカー・チームと提携してからは、脆弱性管理の状況に対する制御レベルが大幅に向上し、実践と結果の両方で継続的な改善を続けています。
当チームは膨大な数の脆弱性に圧倒されていました。未解決の重大なものも一向に減りません。問題の1つとして、集計されたトレンド・データを効果的に抽出して、修復担当者にとって実用的な情報に変えることができませんでした。
X-Force Redチームは、この混沌(こんとん)とした問題に取り組みました。 プログラム開始から4か月後、重大な脆弱性が60%、全体で見ると45%近くが減少しました。
金融サービス企業がサイバーセキュリティー攻撃の被害に遭う頻度は、他業界の企業の300倍です。そのため当行は脆弱性管理プログラムに投資し、優先的に取り組んできました。
当行は深刻で重大な脆弱性を未処理のまま抱えており、その膨大な量が原因で問題の報告、優先付け、追跡が非常に困難になっていました。 単純にエンタープライズ向けの脆弱性管理ソリューションが欠けていたのです。
複数のシステムとスキャナーから大量の脆弱性を抽出する複雑なスプレッドシートという非効率なソリューションがありましたが、結局は脆弱性管理チームもパッチを担当する他のチームも、複雑なレポートを解析してデータを掘り下げることができませんでした。 レポートには脆弱性の総数と数式に基づく主要なリスク指標が記載されていましたが、そのメトリクスがどのように計算され、どの脆弱性がどのシステムに影響を与えているかについてのインサイトが必要でした。
まるで麻痺したようでした。脆弱性スキャナーのアウトプットから脆弱性の数は確認できましたが、データを特定のシステムや所有者に確実にひも付けられなかったのです。 効果的なレポートがないのでシステム管理者はどこからパッチ適用を始めればよいのか分からず、脆弱性チームは有用な指示を出せませんでした。
そのストレスがチームに重くのしかかっていました。 データが非常に不透明だったので、コントロールを失ったように感じました。 私たちは毎月のように脆弱性の数が減少傾向にあることを願いながら経営陣に報告していましたが、結果をコントロールできていないことは分かっていました。 手の施しようがないと感じました。
さらに当時のベンダーはこの懸念の高まりに責任を持たず、当社の進歩を妨げていたレポート・モデルの問題にも取り組みませんでした。 脆弱性管理プログラムを全面的に見直し、ベンダーを変更する必要がありました。
当行は、未処理の脆弱性のうち特に重大なものの修正に役立つ専門知識、ツール、インテリジェンスを備えたサービスを探していました。 2018年11月にX-Force Red Vulnerability Management Servicesを採用すると、すぐにメリットが実証されました。 X-Force Redのベテランハッカー・チームはすぐさま、当行のさまざまなテクノロジー分野と事業分野を分析しました。 彼らはデータ・モデルを徹底的に見直し、重大なデータ品質の問題を修正し、現在も強化を続けているオートメーションを導入しました。
以前は1つ1つ手作業で脆弱性を検討し、数百万個ある脆弱性のうちどれが最も有害な可能性があるかを解読しようとしていましたが、X-Force Redによる自動の順位付け計算式でより効率的、効果的に最も重要な脆弱性を優先することができました。
X-Force Redチームの式は透明化されているので、アルゴリズムがどのように機能するかを正確に把握できたのです。 X-Force Redはハッカーの考え方を応用し、犯罪者がその脆弱性を武器化しているかどうか、そして無防備な資産の価値に基づいて、脆弱性の優先順位を付けました。 以前の手動による優先順位付け方法は数日かかっていたのに対し、自動だとわずか数分しかかかりません。 この迅速な改善により、脆弱性を即座に修正して攻撃を防ぎ、チーム・メンバーが他のタスクに集中できるようになりました。
当チームはX-Force Redの助けを借りて脆弱性を適切な修復責任者に割り振ることができた上、長期にわたって責任者のパフォーマンスをより簡単に測定できました。 システム所有者をサポートして責任を持ってもらうという新たな能力で、大きな進歩を遂げたのです。 X-Force Red Vulnerability Management Servicesを利用すると、レポートのプロセスに対して軽微なものも含めて迅速な調整を施すことができます。これまで何年も解析できなかったデータを理解し、そのデータを特定の形式またはスライスとして表示できるようになりました。これはすべてX-Force Red Vulnerability Management Servicesのおかげです。
数字は嘘をつきません。 X-Force Redとの提携を始めてわずか4か月で、最も重要な脆弱性が60%、全体では44%減少しました。
現在は、最も重大な課題を修正担当のシステム管理チームに処理可能な量で渡せるよう、X-Force Red Vulnerability Management Servicesの修復促進コンポーネントを実装しているところです。
X-Force Redチームは脆弱性管理の実践におけるレポートやトラッキングといった面に加え、スキャン・インフラストラクチャーの改善推進も積極的に行いました。 余分なスキャンをなくし、スキャナー設定の問題を修正すべく構成し直したおかげで、ほぼ2倍の速度で環境をスキャンできるようになりました。
当チームはX-Force Redとの継続的な提携と、 Vulnerability Management Servicesが今後のセキュリティーに与える大きな影響について、見通しは明るいと考えています。私は非常に満足しています。パートナーが期待を超えることは珍しいのですが、今回の場合、X-Force Redは間違いなく期待を超えました。
法務
© Copyright IBM Corporation 2019. 日本アイ・ビー・エム株式会社 〒103-8510 東京都中央区日本橋箱崎町19-21
2019年9月、米国で作成。
IBM、IBMロゴ、ibm.com、X-Forceは、世界の多くの国々で法的に登録されているInternational Business Machines Corp.の商標です。その他の製品名およびサービス名は、IBMまたは他社の商標である可能性があります。IBMの登録商標の最新リストは、Webサイトの「著作権および登録商標情報」(https://ibm.com/legal/copyright-trademark)でご確認いただけます。
本書は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国であっても、特定の製品を利用できない場合があります。
記載されている性能データとお客様事例は、例として示す目的でのみ提供されています。実際の結果は特定の構成や稼働条件によって異なります。本資料の情報は「現状のまま」で提供されるものとし、明示または暗示を問わず、商品性、特定目的への適合性、および非侵害の保証または条件を含むいかなる保証もしないものとします。IBM製品は、IBM所定の契約書の条項に基づき保証されます。
適切なセキュリティ実践に関する声明:ITシステムのセキュリティには、企業内外からの不適切なアクセスの防止、検出、対応を通じてシステムと情報を保護することが含まれます。不適切なアクセスは、情報の改ざんや、破壊、悪用、誤用、または他者への攻撃への使用を含む、システムの損傷または誤用につながるおそれがあります。ITシステムや製品は完全に安全であると捉えるべきではなく、不適切な使用やアクセスを防止する上で絶対に効果のある、製品や、サービス、セキュリティー対策は1つもありません。IBMのシステム、製品およびサービスは、合法的で包括的なセキュリティー・アプローチの一部として設計されているため、必然的に運用手順が追加されることになります。また、最も効果を発揮するために他のシステム、製品、またはサービスが必要となる場合があります。IBMでは、いずれの当事者による不正行為または違法行為により、いかなるシステム、製品もしくはサービス、またはお客様の企業に対して影響が及ぶことはないことを保証するものではありません。