このページでは、Security Command Center の脆弱性と構成ミスの検出結果(脆弱性)に優先順位を付け、リスクを軽減するために使用できる情報と方法について説明します。これにより、適用可能なセキュリティ基準に照らしてセキュリティ体制をより迅速かつ効率的に改善できます。
優先順位付けの目的
時間が限られている中で、特に大規模な組織では、Security Command Center の脆弱性の検出量が膨大になる可能性があるため、組織にとって最大のリスクをもたらす脆弱性を迅速に特定して対処する必要があります。
組織に対するサイバー攻撃のリスクを軽減し、該当するセキュリティ基準の遵守を維持するには、脆弱性を修正する必要があります。
サイバー攻撃のリスクを効果的に軽減するには、リソースを最も露出する脆弱性、最も悪用される脆弱性、悪用された場合に最も重大な被害をもたらす脆弱性を見つけて修正する必要があります。
特定のセキュリティ基準に関するセキュリティ体制を効果的に改善するには、組織に適用されるセキュリティ基準の管理に違反する脆弱性を見つけて修正する必要があります。
以降のセクションでは、これらの目標を達成するために Security Command Center の脆弱性の検出に優先順位を付ける方法について説明します。
脆弱性の検出に優先順位を付け、リスクを軽減する
検出結果はセキュリティの問題の記録です。脆弱性の検出結果には、脆弱性の修正の優先順位付けに使用できる、次の情報が含まれます。
攻撃の発生可能性スコアは脆弱性の検出結果に割り当てられますが、それらは主に公共のインターネットから価値の高いリソースへの潜在的な攻撃パスの特定、リソースに割り当てられた優先度の値、および検出結果が影響を受けるリソースの数に基づいています。
Mandiant によって提供される CVE の悪用可能性や影響評価などの CVE 情報は、脆弱性自体に基づいています。
同様に、検出結果の重大度は脆弱性のタイプに基づいており、Security Command Center によって検出結果のカテゴリに割り当てられます。特定のカテゴリまたはサブカテゴリの検出結果はすべて同じ重大度レベルで発行されます。
Security Command Center のエンタープライズ ティアを使用している場合を除き、検出結果の重大度は静的な値であり、検出結果の存続期間中は変化しません。
エンタープライズ ティアでは、脆弱性の検出結果と構成ミスの検出結果の重大度によってリアルタイムのリスクがより正確に表されます。検出結果は検出結果カテゴリのデフォルトの重大度レベルで発行されますが、検出結果が有効である間に検出結果の攻撃の発生可能性スコアが増減するため、デフォルトのレベルを上回ることも下回ることもあります。
攻撃の発生可能性スコアによる優先順位付け
一般に、スコアが低い検出結果やスコアのない検出結果よりも、攻撃の発生可能性スコアが高い脆弱性の検出結果の修正を優先します。
高価値として指定されたリソースに影響する脆弱性の検出結果のみが、攻撃の発生可能性スコアを受け取ります。スコアにビジネスの優先度を反映させるには、まず価値の高いリソースを定義する必要があります。詳細については、リソース値をご覧ください。
Google Cloud コンソールでは、スコアとともに次のような複数の場所に検出結果が表示されます。
- [概要] ページ。スコアが最も高い 10 の検出結果が表示されます。
- [検出結果] ページの列。攻撃の発生可能性スコアで検出結果をクエリしたり、並べ替えたりできます。
- 価値の高いリソースに影響する脆弱性の検出結果の詳細を表示する場合。
攻撃の発生可能性スコアが最も高い 10 個の脆弱性の検出結果を表示する手順は次のとおりです。
Google Cloud コンソールで、[概要] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
[上位の脆弱性の検出] セクションで、10 件の検出結果を確認します。
[攻撃の発生可能性スコア] 列のスコアをクリックして、検出結果の攻撃パスの詳細ページを開きます。
検出結果の名前をクリックして、[検出結果] ページで検出結果の詳細パネルを開きます。
詳細については、攻撃の発生可能性スコアと攻撃パスをご覧ください。
CVE の悪用可能性と影響の優先順位付け
一般に、悪用可能性が高く影響が大きいという CVE 評価がある検出結果の修正を、悪用可能性が低く影響が小さいという CVE 評価がある検出結果より優先します。
[概要] ページの [上位の CVE の検出結果] セクションのグラフまたはヒートマップで、脆弱性の検出が悪用可能性およびMandiant が提供する影響評価ごとにブロックにグループ化されます。
コンソールで特定の脆弱性の検出結果の詳細を表示すると、[概要] タブの [脆弱性] セクションで CVE 情報を確認できます。影響と悪用可能性に加えて、[脆弱性] セクションには、CVSS スコア、参照リンク、CVE の脆弱性定義に関するその他の情報も表示されます。
影響と悪用可能性が最も大きい検出結果をすばやく特定するには、次の手順を行います。
Google Cloud コンソールで、[概要] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
上位の CVE 検出結果セクション概要ページで、悪用の可能性と影響が最も大きいゼロ以外の番号を持つブロックをクリックします。[CVE ごとの検出結果] ページが開き、同じ影響と悪用可能性を持つ CVE ID のリストが表示されます。
[CVE ID 別の検出結果] セクションで、CVE ID をクリックします。[検出結果] ページが開き、その CVE ID を共有する検出結果のリストが表示されます。
[検出結果] ページで検出結果の名前をクリックすると、検出結果と推奨される修正手順の詳細が表示されます。
重大度で優先する
通常、重大度が HIGH の脆弱性の検出結果よりも、重大度が CRITICAL の脆弱性の検出結果が優先されます。また、MEDIUM の重大度よりも HIGH の重大度が優先されます。
最も重大度の高い脆弱性を特定する最も簡単な方法は、Google Cloud コンソールの [検出結果] ページで [クイック フィルタ] を使用することです。
最も重大度の高い検出結果を表示する手順は次のとおりです。
Google Cloud コンソールで、[検出結果] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
[検出結果] ページの [クイック フィルタ] パネルで、次のプロパティを選択します。
- [検出結果クラス] で [脆弱性] を選択します。
- [重大度] で、[重大]、[高]、または両方を選択します。
[検出結果クエリの結果] パネルが更新され、指定した重大度の検出結果のみが表示されます。
脆弱性の検出の重大度は、[未対応の脆弱性の検出] セクションの [概要] ページでも確認できます。
脆弱性の検出に優先順位を付け、コンプライアンスを向上させる
コンプライアンスのために脆弱性の検出を優先する場合、主な懸念事項は、該当するコンプライアンス基準の管理に違反する検出結果です。
特定のベンチマークの制御に違反する検出結果は、次の手順に沿って確認できます。
Google Cloud コンソールで、[コンプライアンス] ページに移動します。
Google Cloud コンソールのプロジェクト セレクタを使用して、脆弱性に優先順位を付ける必要があるプロジェクト、フォルダ、または組織を選択します。
遵守する必要があるセキュリティ標準の名前の横にある [詳細を表示] をクリックします。[コンプライアンスの詳細] ページが開きます。
必要なセキュリティ標準が表示されない場合は、[コンプライアンスの詳細] ページの [コンプライアンス標準] フィールドに標準を指定します。
列見出しをクリックして、リストされたルールを [検出結果] で並べ替えます。
1 つ以上の検出結果を表示するルールの場合は、[ルール] 列のルール名をクリックします。[検出結果] ページが開き、そのルールの検出結果が表示されます。
検出結果がなくなるまで修正します。次のスキャン後に、ルールに新しい脆弱性が見つからなければ、コントロールの合格率が上がります。