情報および IT に関連するセキュリティリスクの評価と管理は、あらゆるレベルの組織が直面する最も困難で捉えどころのない問題の 1 つです。リスクをどのように測定し管理するかは、常に存在する課題であり、情報セキュリティのプロにとっての最優先事項です。残念ながら、今⽇存在している脆弱性およびリスク管理⽤のツールのほとんどは適切なメトリック(測定基準)を提供しておらず、コスト効率よくリスク管理を⾏う能⼒を向上させるには至っていません。
従来型の脆弱性管理ツールは、検出した脆弱性の状態を、主観的かつ⼤まかにランク分けされたリストの形で提供しています(たとえば、高/中/低、またはレベル 1 〜5 のように)。そして、このリストを基にセキュリティ上の決断が下されます。そのような主観的なランク付けでは、数千台もあるホストの優先順位付けを効率良く⾏うことはできません。
存在する脆弱性の数が増え、その数が多くなるほど、優先順位付けの重要性も高まります。脆弱性の状態を、再現性と客観性のある有意義な方法で効果的に採点することができれば、組織はそのインフラストラクチャを把握し、最も効果的にビジネス全体のリスクを低減させるために限られたリソースを集中させることができます。そのため、情報セキュリティ対策の基礎として実⾏可能なリスクメトリックが必要とされます。
Tripwire は、2001 年初頭に客観的なスコア計算式を開発しました。実際のリスク算定で使⽤される計算式は、当初から変わっていません。また、脆弱性およびリスク管理のために Tripwire IP360™ を採⽤している数多くの⼤規模組織において、脆弱性スコアリングメトリックとして使⽤されてきました。
Tripwire IP360 のスコアは、情報セキュリティ業界において最も適切で使いやすく、機能的なリスクメトリックであり続けています。
