このページでは、Security Command Center で検出されたソフトウェアの脆弱性、構成ミス、および Enterprise 階層を使用した場合の有害な組み合わせ(集合的な脆弱性)の優先順位付けに使用できる情報と方法について説明します。これにより、適用可能なセキュリティ標準に関連するリスクを軽減し、セキュリティ体制を迅速かつ効率的に改善できます。
優先順位付けの目的
時間が限られている中で、特に大規模な組織では、Security Command Center の脆弱性の検出量が膨大になる可能性があるため、組織にとって最大のリスクをもたらす脆弱性を迅速に特定して対処する必要があります。
脆弱性を修正して、組織に対するサイバー攻撃のリスクを軽減し、適用されるセキュリティ標準への組織のコンプライアンスを維持する必要があります。
サイバー攻撃のリスクを効果的に軽減するには、リソースを最も露出する脆弱性、最も悪用される脆弱性、悪用された場合に最も重大な被害をもたらす脆弱性を見つけて修正する必要があります。
特定のセキュリティ標準に関してセキュリティ体制を効果的に改善するには、組織に適用されるセキュリティ標準の管理に違反する脆弱性を見つけて修正する必要があります。
以下のセクションでは、これらの目的を達成するために Security Command Center の脆弱性の検出結果に優先順位を付ける方法について説明します。
脆弱性の検出に優先順位を付けてリスクを軽減する
検出結果はセキュリティ問題の記録です。脆弱性の検出結果には、脆弱性の修正の優先順位付けに使用できる次の情報が含まれます。
攻撃の発生可能性スコアは脆弱性の検出結果に割り当てられますが、それらは主に公共のインターネットから価値の高いリソースへの潜在的な攻撃パスの特定、リソースに割り当てられた優先度の値、および検出結果が影響を受けるリソースの数に基づいています。
有害な組み合わせスコアは、有害な組み合わせの検出結果に適用されます。これは、Security Command Center の Enterprise ティアの機能です。有害な組み合わせスコアは、他の種類の検出結果に対する攻撃の発生可能性スコアに似ていますが、個々のソフトウェアの脆弱性や構成ミスの検出結果ではなく、パスに適用するものと考えることができます。詳細については、有害な組み合わせによる攻撃の発生可能性スコアをご覧ください。
Mandiant によって提供される CVE の悪用可能性や影響評価などの CVE 情報は、脆弱性自体に基づいています。
同様に、検出結果の重大度は脆弱性のタイプに基づいており、Security Command Center によって検出結果のカテゴリに割り当てられます。特定のカテゴリまたはサブカテゴリの検出結果はすべて同じ重大度レベルで発行されます。
Security Command Center のエンタープライズ ティアを使用している場合を除き、検出結果の重大度は静的な値であり、検出結果の存続期間中は変化しません。
エンタープライズ ティアでは、脆弱性の検出結果と構成ミスの検出結果の重大度によってリアルタイムのリスクがより正確に表されます。検出結果は検出結果カテゴリのデフォルトの重大度レベルで発行されますが、検出結果が有効である間に検出結果の攻撃の発生可能性スコアが増減するため、デフォルトのレベルを上回ることも下回ることもあります。
攻撃の発生可能性スコアで優先順位を付ける
一般に、攻撃の発生可能性や有害な組み合わせのスコアが高い検出結果の修正を、スコアが低い検出結果やスコアのない検出結果よりも優先します。
高価値と指定されたリソースに影響する脆弱性の検出結果のみがスコアを受け取ります。スコアにビジネスの優先事項を反映するには、まず価値の高いリソースを定義する必要があります。詳細については、リソース値をご覧ください。
Google Cloud コンソールとセキュリティ運用コンソールでは、スコアは検出結果とともに以下の複数の場所に表示されます。
- [概要] ページ。スコアが最も高い 10 件の検出結果が表示されます。
- [検出結果] ページの列。検出結果をスコアでクエリおよび並べ替えることができます。
- 価値の高いリソースに影響する脆弱性の検出結果の詳細を表示する場合。
セキュリティ運用コンソールでスコアの高い有害な組み合わせの検出結果を表示する
セキュリティ運用コンソールでは、主にケースを使用して有害な組み合わせを処理します。スコアの高い検出結果のケースは、[体制] > [概要] ページで確認できます。
Google Cloud コンソールで高スコアの検出結果を表示する
Google Cloud コンソールでは、次の手順で、攻撃の発生可能性スコアが最も高い 10 件の脆弱性の検出結果を確認できます。
Google Cloud コンソールで、[概要] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
[上位の脆弱性の検出結果] セクションで、10 の検出結果を確認します。
[攻撃の発生可能性スコア] 列のスコアをクリックすると、検出結果の攻撃パスの詳細ページが開きます。
検出結果の名前をクリックして、[検出結果] ページの検出結果の詳細パネルを開きます。
詳細については、攻撃の発生可能性スコアと攻撃パスをご覧ください。
CVE の脆弱性悪用可能性と影響で優先順位を付ける
一般に、悪用可能性が高く影響が大きいという CVE 評価がある検出結果の修正を、悪用可能性が低く影響が小さいという CVE 評価がある検出結果より優先します。
[概要] ページの [上位の CVE の検出結果] セクションのグラフまたはヒートマップで、脆弱性の検出が悪用可能性およびMandiant が提供する影響評価ごとにブロックにグループ化されます。
コンソールで特定の脆弱性検出結果の詳細を表示すると、[概要] タブの [脆弱性] セクションに CVE 情報が表示されます。影響と悪用可能性に加えて、[脆弱性] セクションには、CVSS スコア、参照リンク、CVE の脆弱性定義に関するその他の情報が記載されています。
影響と悪用可能性が最も高い検出結果をすばやく特定するには、次の手順に従います。
Google Cloud コンソールで、[概要] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
上位の CVE 検出結果セクション概要ページで、悪用の可能性と影響が最も大きいゼロ以外の番号を持つブロックをクリックします。[CVE による検出結果] ページが開き、影響と悪用可能性のレベルが同じ CVE ID のリストが表示されます。
[CVE ID による検出結果] セクションで CVE ID をクリックします。[検出結果] ページが開き、その CVE ID を共有する検出結果のリストが表示されます。
[検出結果] ページで検出結果の名前をクリックすると、検出結果の詳細と推奨される修正手順が表示されます。
重大度で優先順位を付ける
一般に、重大度が HIGH の脆弱性検出結果よりも、重大度が CRITICAL の脆弱性検出結果を優先し、重大度が MEDIUM の脆弱性検出結果よりも、重大度が HIGH の脆弱性検出結果を優先します。
最も重大度の高い脆弱性を特定する最も簡単な方法は、Google Cloud コンソールの [検出結果] ページで [クイック フィルタ] を使用することです。
最も重大度の高い検出結果を表示する手順は次のとおりです。
Google Cloud コンソールで、[検出結果] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
[検出結果] ページの [クイック フィルタ] パネルで、次のプロパティを選択します。
- [検出結果クラス] で [脆弱性] を選択します。
- [重要度] で、[重大]、[高]、またはその両方を選択します。
[検出結果クエリの結果] パネルが更新され、指定した重要度の検出結果のみが表示されます。
脆弱性の検出結果の重大度は、[有効な脆弱性の検出結果] セクションの [概要] ページでも確認できます。
コンプライアンスを改善するために脆弱性検出結果に優先順位を付ける
コンプライアンスのために脆弱性検出結果に優先順位を付ける場合、主な懸念事項は、該当するコンプライアンス基準のコントロールに違反する検出結果です。
特定のベンチマークのコントロールに違反する検出結果は、次の手順で確認できます。
Google Cloud コンソールで、[コンプライアンス] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
準拠する必要があるセキュリティ標準の名前の横にある [詳細を表示] をクリックします。[コンプライアンスの詳細] ページが開きます。
必要なセキュリティ標準が表示されない場合は、[コンプライアンスの詳細] ページの [コンプライアンス基準] フィールドで基準を指定します。
列見出しをクリックして、リスト表示されたルールを [検出結果] で並べ替えます。
1 つ以上の検出結果が表示されているルールの場合は、[ルール] 列でルール名をクリックします。[検出結果] ページが開き、そのルールの検出結果が表示されます。
検出結果がなくなるまで検出結果を修正します。次のスキャン後に、ルールに新しい脆弱性が見つからない場合は、合格したコントロールの割合が増加します。