Select regional site

【Tripwire 】ホーム製品情報Tripwire IP360脆弱性スコアリングシステム

脆弱性スコアリングシステム

脆弱性およびリスク分析

情報および IT に関連するセキュリティリスクの評価と管理は、あらゆるレベルの組織が直面する最も困難で捉えどころのない問題の 1 つです。リスクをどのように測定し管理するかは、常に存在する課題であり、情報セキュリティのプロにとっての最優先事項です。残念ながら、今⽇存在している脆弱性およびリスク管理⽤のツールのほとんどは適切なメトリック(測定基準)を提供しておらず、コスト効率よくリスク管理を⾏う能⼒を向上させるには至っていません。

従来型の脆弱性管理ツールは、検出した脆弱性の状態を、主観的かつ⼤まかにランク分けされたリストの形で提供しています(たとえば、高/中/低、またはレベル 1 〜5 のように)。そして、このリストを基にセキュリティ上の決断が下されます。そのような主観的なランク付けでは、数千台もあるホストの優先順位付けを効率良く⾏うことはできません。
存在する脆弱性の数が増え、その数が多くなるほど、優先順位付けの重要性も高まります。脆弱性の状態を、再現性と客観性のある有意義な方法で効果的に採点することができれば、組織はそのインフラストラクチャを把握し、最も効果的にビジネス全体のリスクを低減させるために限られたリソースを集中させることができます。そのため、情報セキュリティ対策の基礎として実⾏可能なリスクメトリックが必要とされます。

Tripwire は、2001 年初頭に客観的なスコア計算式を開発しました。実際のリスク算定で使⽤される計算式は、当初から変わっていません。また、脆弱性およびリスク管理のために Tripwire IP360™ を採⽤している数多くの⼤規模組織において、脆弱性スコアリングメトリックとして使⽤されてきました。

Tripwire IP360 のスコアは、情報セキュリティ業界において最も適切で使いやすく、機能的なリスクメトリックであり続けています。

Tripwire の脆弱性スコアリングシステムとは?

資産価値

脆弱性スコアは、安全性とは完全に一致しません。実際にはセキュリティに対する「公式」は存在せず、ある企業のセキュリティが犯罪者を締め出せるほどしっかりしているかを判断できる先験的方法はありません。

脆弱性スコア⾃体は、脆弱性が検出されたコンテキストを考慮しません。Tripwire IP360 では、脆弱性スコアにビジネスコンテキストを組み込むために、ホストの「資産価値」も考慮します。資産価値は、企業内の特定のホストの価値を示す値で、顧客が整数(通常はドル)で指定します。
資産の価値を表すことは、優先順位付けにおける重要な要素です。もし、あるホストの脆弱性スコアが高くても、資産価値が低ければ、セキュリティ管理者は重点的に対応する必要はありません。逆に、資産価値が高ければ、優先的に対処しなければいけません。

Tripwire IP360 の脆弱性スコアは、評価の結果に基づいた数学的な抽象概念です。Tripwire IP360 の評価結果は、VnE Manager 経由で取得できるレポートに詳細に記載されます。このレポートでは、どのようにサイトのセキュリティを改善して、ネットワークへのリスクを最小化できるか等の推奨方法も提供されます。

まとめ

ある環境に対して矛盾なくメトリックを適⽤すれば論理的結論が得られます。矛盾のない方法で測定を⾏うと、都度適切な対応を実施できます。メトリックで実際に何を測定するかにより、対応に違いが出るため、結果として測定の対象の選び方が、直接その後の対応結果に影響を与えることとなります。不適切な方法でリスクの測定を⾏うと、リスク低減のためのアクションもまた不適切なものになります。有効なメトリックを適⽤しなければ、リスク緩和のためのアクションを適切に実⾏できません。

Tripwire IP360の脆弱性スコアを企業内のリスク測定のための基本メトリックとして採⽤して、ホストの資産価値と組み合わせ、さらに他のTripwire のソリューションと共に使⽤すると、組織は以下のことをより効率よく⾏えるようになります。

  • 客観的なメトリックを使⽤してネットワークのセキュリティリスクを測定可能
  • 既存のシステムと統合し、ダッシュボードの表示を使⽤して、ネットワークのセキュリティリスクを管理
  • 優先順位の高い IT リソースに焦点を置いてネットワークのセキュリティリスクを低減

「脆弱性スコアリングシステム」のダウンロード

資料では、更に詳しく脆弱性評価についてご説明いたします。

関連製品

TRIPWIRE IP360データシート
ご購入または
技術的なご相談
お問い合わせ
販売パートナー
購入後の技術的なお問い合わせは販売代理店のサポート窓口にご連絡ください。
メールマガジン

製品に関する情報や、ホワイトペーパーの
ご案内などをお送りいたします。

今すぐ登録

変更検知のデファクトスタンダードTripwire

Tripwire社の製品は、現在Fortune 500社の50%以上を含む、9,000社以上のお客様にご利用いただいております。
脆弱性管理ソリューションも新たに追加し、お客様のセキュリティ・リスク管理、コンプライアンスの実現をサポートします。