はじめに
脆弱性管理についての取り組みの事例についてご紹介できればと考えております。
今回はエンドポイント端末の脆弱性管理についてのみお話しております。
当時の脆弱性対応の状況
名前は伏せさせていただきますが、私の在籍する会社ではエンジニアのPCについては脆弱性管理どころかインストールされているソフトウェアも分からないような状況でした。
そのため、影響が大きそうな脆弱性が確認されたときに該当者はいるのかなどの判断もできないような状況です。
そんな状況の中にセキュリティ担当としてアサインされ、「早急に改善しなければ」と思いました。
脆弱性対応を行う上で、IT資産管理と脆弱性管理はセットで行う必要があるので、紆余曲折はありましたがこれらのツールを導入することにしました。
脆弱性ツールの導入後
ツールを導入して驚いたのが、製品の方で優先度がCritical(KEVに載っているものや、攻撃の難易度が低いもの)と判定されるものが500件以上…
そもそもEOLを迎えているソフトウェアやOSを使っている端末も多く存在していました。
脆弱性情報は毎日更新されていくので、これらの数をユーザーに毎回案内して対応依頼を実施は1人では難しいと思い、できるだけ省力化した脆弱性管理を考えることにしました。
脆弱性管理の方針
まずはCriticalと判断される脆弱性の対応を必須としました。
またCriticalとなっている脆弱性のリストをTeamsのプライベートチャンネルで公開し、そこに対応が必要な人を招待し、対応が終了した人はチャンネルから抜けてもらう運用としました。
このような方針にすることと、Power Automateで自動化できるところは自動化することにより省力化した脆弱性管理の実現を実施しました。
運用開始直後の問題と解決方法
運用開始直後は、なかなかユーザーには対応してもらえませんでした。
ただ、このような運用は最初が肝心だと思ったのであまりオススメではないのですが、対応期日までに対応がない場合は上長含めエスカレーションを実施する旨を周知しました。
※ここは組織のリテラシーや文化などによっても左右されますし、やり方も異なると考えております。
そのようなことも相まって、対応が必要な脆弱性の数をかなり減少することができました。
まとめ
端末側のポップアップに表示させたり、自動アップデート、ユーザー側で適切にソフトウェア管理などができるように教育や周知を徹底するなどの方法があるかと思いますが、様々な制約の中でこのような運用としました。
ご覧いただいた皆様の参考になれば幸いです。
ここまで読んでいただきありがとうございました。