以前のブログ「IT資産の脆弱性管理で実施すべき対応とは？」ではIT資産の脆弱性管理について説明しました。
本ブログでは具体的なIT資産の脆弱性管理の方法としてTenable Vulnerability Management(旧 Tenable.io)を使った運用方法について紹介します。

Tenable Vulnerability Managementを使った運用イメージ

Tenable Vulnerability Managementとは

Tenable Vulnerability Management はIT資産を可視化し、脆弱性検出、評価、優先順位付けして管理を行うクラウド型脆弱性管理プラットフォームです。
Tenable社では新しい脆弱性に関する情報が発見され一般公開されると、該当の脆弱性を検出するプログラム(プラグイン)を開発します。プラグインはTenable Vulnerability Managementに自動適用されるため、常に新しい脆弱性を含めた検出が可能となります。

運用フロー

新たな脆弱性が発見されたというニュースを耳にしたら、早急に自社で管理しているIT資産が脆弱性の影響を受けているのか確認し対処を行う必要があります。
 
Tenable Vulnerability Managementを使った場合は以下のようなフローで対応します。

具体的な作業手順

運用フローの各作業の具体的な手順を説明します。

スキャン結果から脆弱性の検出を探す

該当の脆弱性が検知されていないか確認します。
スキャンの検出結果はTenable Vulnerability Managementのメニューの「検出結果」に表示されるので、該当の脆弱性の名前等をキーワードに検索して絞り込みを行います。

検索結果が0件であれば、該当の脆弱性の影響を受けているIT資産は存在しないと判断でき、これ以降の対処は不要です。
検索結果が1件以上ある場合は、次の手順に進みます。

脆弱性が存在する資産を確認

脆弱性の影響を受ける資産を確認するため、検出結果の検索で見つかった脆弱性をクリックして詳細を確認します。

詳細の「検出結果で開く」をクリックすると該当の脆弱性が存在する資産のリストを確認できます。

脆弱性の解消方法を確認

表示された資産リスト部分をクリックし下部に表示される詳細の「ソリューション」に検出された脆弱性の解消方法が表示されます。

脆弱性の対応方針の確定

脆弱性の影響を受ける資産の管理部門へ脆弱性が検知されたことを連絡します。管理部門では検知された脆弱性の解消方法やVPR(※)のスコアなどを踏まえて対応方針を確定します。
※VPR（Vulnerability Priority Rating）はTenable独自の脆弱性優先度の格付けです。機械学習アルゴリズムを活用し、脅威の最新性や強度、悪用される可能性、脆弱性の経過日数や脅威の発生元などに基づいてVPRのスコアを算出します。

〇脆弱性を修正する
脆弱性を修正すると判断した場合は、影響範囲や対応部門のスケジュールなどを調整して修正作業を実施します。修正作業が終わった後に修正確認を行います。
 
〇脆弱性を修正しない
脆弱性を修正しない(リスク受容)と判断した場合は、Tenable Vulnerability Managementにて検知した脆弱性を許容するルール追加することで、以後スキャンを実施しても検出しなくなります。

修正確認

Tenable Vulnerability Managementにて再スキャンを実施し、スキャン結果に該当の脆弱性が検知されないことを確認します。

おわりに

Tenable Vulnerability Managementを使ったIT資産の脆弱性管理の運用方法についてご紹介しました。
Tenable社では業界最大のリサーチチームを有しており、新たな脆弱性が見つかった場合には迅速にTenable Vulnerability Managementに反映することが可能です。
IT資産の脆弱性管理として高い評価を得ているTenable Vulnerability Managementのご利用をご検討ください。

＜Tenable Vulnerability Managementの詳細はこちら＞
https://www.techmatrix.co.jp/product/tenable/vulnerability.html