3-3-2-脆弱性一元管理ダッシュボード (Central-vulnerability-management-dashboard)

脆弱性管理とは何か？

脆弱性管理は組織がソフトウェアやプラットフォームの脆弱性を検出し、報告し、優先順位を付け、修正するのに役立つ継続的なプロセスです。セキュリティ上の欠陥を管理しやすく、実用的で、追跡可能な方法で整理できるようになるため、DevSecOps ライフサイクルの重要な部分となっています。また脆弱性管理は組織のセキュリティ態勢の可視化を実現するのにも役立ちます。脆弱性管理を他のプロセスと一緒に実行すると、攻撃対象領域を最小限に抑え、分散したツールやプロセス間で孤立した調査結果間のギャップを埋めることができます。

プロセス定義

OWASP VMG プロジェクトを参考にすると、脆弱性管理プロセス全体を三つのステップで説明できます。

• 検出 (Detection): 検出サイクルの中で、誰が (who)、何を (what)、どこで (where)、なぜ (why)、どのように (how) を定義することによって、本質的な方法で脆弱性テストを支援するタスクを実施します。主な活動はプロセスの各ラウンド後のスコープの定義と改良、ツールの準備とその完全性の検証、テストの実施、結果の検証に重点を置いています。

• 報告 (Reporting): 報告サイクルは組織が測定可能な方法で脆弱性を理解することを支援する活動を対象としています。主な活動は脆弱性に関連するすべてのシステム、脆弱性、脅威、技術リスク、運用リスクの詳細を 迅速かつ簡潔に把握すること に重点を置いています。報告には平均修復時間 (Mean Time to Remediate, MTTR) や脆弱性回避率 (Vulnerability Escape Rate, VER) などの組織として意味のある指標を作成し、時間の経過とともに組織が改善できるようにすることも含みます。

• 優先順位付け (Prioritization): 優先順位付けプロセスでは開発チームと協力して修正する脆弱性を選択します。脆弱性の中にはリスクが最小限のものや悪用できないものもあるかもしれません。リスクは優先順位付けプロセスにおける重要な要素の一つですが、必要な労力と専門知識も重要な要素です。組織はシステムの廃止時期や開発プロセスの詳細も考慮することがあります。

• 修復 (Remediation): 修復サイクルは脆弱性を低減または排除する活動を対象としています。主な活動は修復作業の優先順位付けと条件の定義、誤検出の議論と文書化、例外への対処に重点を置いています。

脆弱性管理ツールが DevSecOps にどのように役立つか

DevSecOps パイプラインを作成するために使用するツールは多くの脆弱性を生成し、それぞれのツールは独自の個別フォーマットを持っています。このデータを管理して追跡することは困難です。脆弱性管理ツールはさまざまなツールや活動で生成されたレポートを一つないしいくつかのダッシュボードに統合し、セキュリティ態勢の概要を提供します。チームメンバーはメトリクスによって修復作業の進捗状況を追跡し、パイプライン全体にわたる調査結果をトリアージおよび優先順位付けし、プロセス全体にわたる脆弱性ライフサイクルの管理を行うことができます。また、エンジニアは重複排除機能の恩恵を受け、継続的なスキャンと調査結果の重複によって発生するノイズに対処できます。最後に、脆弱性管理ツールは他のコンポーネントとの統合により、双方向通信、通知、データのエクスポート、レポートの生成を可能にします。

以下の画像は脆弱性管理が何を意味し、なぜ考慮しなければいけないかをよりよく理解するためのものです。

VM Inside Pipeline

注意

脆弱性管理ツールで大規模なセキュリティバックログを作成し、脆弱性を捕捉しても、その修正に貢献しないことに注意してください。 Michal Zalewski が "The Tangled Web" (邦訳「めんどうくさいWebセキュリティ」) で述べているように、資金不足のセキュリティ対策とリスク管理は真のセキュリティ対策の代わりにはなりません。

また脆弱性管理プロセスがあまり速くないことにも注意してください。 DevSecOps パイプラインは通常の開発プロセスの一環として、脆弱性を開発者に迅速に届ける高速なフィードバックループを作成するように設計すべきです。遅延が生じると脆弱性の修正がはるかに複雑になり費用もかかります。

どこで (Where)、いつ (When)、どのように (How)

開発の初期段階でガバナンス機能を提供するには DevSecOps プログラムの中心部分に脆弱性管理ツールを実装し統合すべきです。OWASP DefectDojo などのツールでは自動 CI/CD 統合と手動レポートをサポートします。またリスク分析プロセスを補完する優れた方法である OWASP ASVS V4 に対してアプリケーションを追跡するチェックリストも含まれています。

---

ツール:

• オープンソース:

  • OWASP DefectDojo - オープンソースアプリケーションセキュリティ管理

  • Archery Sec - オープンソースオーケストレーションおよび相関ツール

• Commercial:

  • kondukto - すべてのセキュリティテストツールの結果を一つのビューで即時に取得し、脆弱性修復ワークフローを自動化し、主要なセキュリティパフォーマンス指標 (KPI) でリスクを管理します。

---

参考情報

• DefectDojo Supported Tools & Reports

• DefectDojo Model

• Vulnerability Management Principles