予防的な脆弱性管理(脆弱性管理)は、安全で回復力のあるソフトウェア システムを維持するために不可欠です。 このスコアカード ルールは、脆弱性が検出された APM エンティティの割合を追跡することで組織のセキュリティ体制を測定し、セキュリティ リスクがインシデントになる前に体系的に特定、優先順位付け、修復できるようにします。
Vulnerability Management(脆弱性管理)が重要な理由
リスク軽減:脆弱性を早期に検出して修復することで、ビジネスに重大な影響を与える可能性のあるセキュリティ侵害、データ損失、サービス中断を防止します。
コンプライアンス要件:多くの規制フレームワークでは体系的な脆弱性管理(脆弱性管理)の実践が求められており、このスコアカード ルールはコンプライアンスの実証に不可欠です。
コストの回避:プロアクティブな脆弱性管理(脆弱性管理)は、セキュリティ インシデント、違反、コンプライアンスへの対応に比べて大幅にコストが低くなります。
顧客の信頼:実証可能なセキュリティ プラクティスにより顧客の信頼が築かれ、セキュリティ意識が高まる市場において組織の評判が保護されます。
サプライ チェーンのセキュリティ:最新のアプリケーションは多数のサードパーティ ライブラリと依存関係に依存しているため、リスク サーフェス全体を把握するには、体系的な脆弱性スキャンが重要になります。
このルールの仕組み
このルールは、New Relic Security を使用して脆弱性を検出した APM エンティティの割合を評価します。この測定により、インサイトが全体的なセキュリティ体制に組み込まれ、セキュリティ修復作業の優先順位付けに役立ちます。
成功基準:脆弱性を伴うエンティティのパーセンテージが低いほど、セキュリティ衛生が向上し、脆弱性管理プロセスがより効果的であることを示します。 目標は、体系的な検出と修復を通じて脆弱なエンティティの割合を最小限に抑えることです。
ルール定義
このスコアカード ルールは、アプリケーション ポートフォリオ全体の脆弱性の存在を評価することで、セキュリティの有効性を測定します。
測定基準
メトリクスの評価:脆弱性が検出されたAPMエンティティの割合データ ソース: New Relic Security 脆弱性スキャンと検出成功目標:未解決の脆弱性があるエンティティの割合を最小限に抑える評価範囲:監視環境内のすべてのAPMエンティティ
脆弱性検出の理解
New Relic Security が特定するもの:
- アプリケーションの依存関係とライブラリの既知の脆弱性
- サードパーティのパッケージとフレームワークのセキュリティ問題
- 共通脆弱性識別子(CVE)データベースの一致
- オープンソースコンポーネントによるサプライチェーンのセキュリティリスク
脆弱性の評価プロセス:
- アプリケーションコンポーネントと依存関係の継続的なスキャン
- 新たに発見された脆弱性のリアルタイム識別
- 業界標準(CVSS)に基づく重大度スコアリングとリスクの優先順位付け
- 最新のリスク情報を取得する脅威インテリジェンス フィードとの統合
習熟度レベルのアプローチ
プロアクティブなセキュリティ文化:レベル 3 では、組織は事後的なセキュリティ対応から、開発ワークフローに統合されたプロアクティブな脆弱性管理 (脆弱性管理) に移行します。
体系的なリスク管理:このレベルでは、セキュリティ修復作業の継続的な監視、自動検出、およびデータドリブンの優先順位付けに重点が置かれます。
ビジネス リスクの調整:セキュリティに関する決定は、ビジネス影響評価に基づいて行われ、セキュリティの改善と運用効率および開発速度のバランスが取られます。
組織の能力:習熟レベル 組織は、大規模で持続可能な脆弱性管理を可能にするプロセス、ツール、およびチームコラボレーションパターンを確立しています。
Vulnerability Management(脆弱性管理)戦略
スコアカードに脆弱性のあるエンティティが表示された場合、次の戦略が包括的なセキュリティ プラクティスを確立するのに役立ちます。
1. 脆弱性の評価プロセスを確立する
脆弱性の発見とインベントリ:
- すべての APM エンティティにわたる包括的な脆弱性スキャンを構成する
- 開発およびデプロイメントのサイクルに合わせて定期的なスキャン スケジュールを確立します。
- 一元化された脆弱性インベントリと追跡システムを作成する
- 新しい依存関係とサードパーティコンポーネントの自動検出を実装する
リスク評価と優先順位付け:
- CVSSスコア、悪用可能性、ビジネスへの影響を考慮した脆弱性スコアリング基準を開発する
- セキュリティリスクとビジネスの重要性のバランスをとる優先順位マトリックスを作成する
- 重大かつ高深刻度の脆弱性に対する明確なエスカレーション手順を確立する
- すぐに修復できない低優先度の脆弱性に対するリスク受け入れプロセスを実装する
2. 効果的な修復ワークフローを構築する
チーム間のコラボレーション:
- 開発チーム内にセキュリティチャンピオンプログラムを確立する
- セキュリティ、開発、運用チーム間の明確なコミュニケーションチャネルを構築する
- 定期的なセキュリティレビュー会議と脆弱性ステータスレポートを実施する
- 脆弱性の修復のための責任共有モデルを開発する
修復計画と実行:
- さまざまな脆弱性の種類に応じて標準化された修復手順を作成する
- 重大度レベルに基づいて脆弱性の修復のタイムラインと SLA を確立する
- 修復によって新たな問題が発生しないようにテスト手順を実装する
- 問題を引き起こした修復活動のロールバック計画を作成する
依存関係の管理:
- CI/CDパイプラインに自動依存関係スキャンを実装する
- 新しい依存関係とサードパーティのライブラリを承認するためのポリシーを確立する
- 既存の依存関係を評価および更新するための手順を作成する
- サプライチェーンの可視性を確保するためにソフトウェア部品表(SBOM)追跡を実装する
3. 開発ワークフローにセキュリティを統合する
シフトレフトのセキュリティプラクティス:
- 脆弱性スキャンを開発環境と IDE プラグインに統合
- 既知の脆弱な依存関係をチェックするコミット前のフックを実装する
- 安全なコーディングの実践と脆弱性の認識に関する開発者向けトレーニングを提供する
- 機能テストと並行して実行されるセキュリティテスト手順を作成する
CI/CDパイプライン統合:
- デプロイメントパイプラインに脆弱性スキャンゲートを追加
- 重大な脆弱性のあるデプロイメントの自動ブロックを実装する
- リスク受容を文書化して、緊急配備のための免除プロセスを作成する
- 新たに発見された脆弱性に対する自動通知システムを確立する
セキュリティ メトリクスとレポート:
- 脆弱性の修復の進捗状況を追跡するダッシュボードを実装する
- 経営幹部および技術関係者向けに定期的なセキュリティレポートを作成する
- セキュリティの長期的な改善を測定するためのメトリクスを確立する
- 脆弱性データを使用して、セキュリティ投資とリソース割り当ての決定に役立てる
4. 高度な脆弱性管理(脆弱性管理)の実践
脅威インテリジェンスの統合:
- 外部の脅威インテリジェンスフィードを脆弱性データと統合する
- 現在の脅威の状況に基づいてコンテキストリスク評価を実施する
- 積極的に悪用されている脆弱性に対する集中システムを作成する
- ゼロデイ脆弱性に対する緊急対応手順を確立する
自動化とオーケストレーション:
- リスクが低く、十分に理解されている修正のために自動脆弱性の修復を実装する
- セキュリティパッチの自動テストと検証を作成する
- 修復が失敗した場合の自動ロールバック手順を確立する
- オーケストレーションツールを使用して、複雑なマルチサービスのセキュリティ更新を調整します。
継続的な改善:
- 定期的なセキュリティ評価と侵入テストを実施する
- セキュリティインシデントと修復活動に関する教訓を活かすプロセスを実装する
- Vulnerability Management(脆弱性管理)プロセスの有効性を測定するためのメトリクスを確立する
- Vulnerability Management(脆弱性管理)と開発実践の間にフィードバックループを作成する
実装ガイダンス
包括的な脆弱性管理(脆弱性管理)の構築
- 適切なスキャン ポリシーとすべてのAPMエンティティをカバーするNew Relic Security を構成する
- 現在の脆弱性の状況と修復能力のベースライン測定を確立する
- 既存の開発・運用プロセスと統合したVulnerability Management(脆弱性管理)ワークフローの作成
- 進捗状況を監視し、関係者にステータスを伝えるための追跡および報告システムを実装します。
組織能力の構築
チーム構造と役割:
- チーム全体の脆弱性管理(脆弱性管理)に対する明確な役割と責任を定義する
- 開発チーム内にセキュリティチャンピオンネットワークを確立する
- 重大な脆弱性やセキュリティインシデントに対するエスカレーション手順を作成する
- セキュリティ意識向上のための部門横断的なトレーニング プログラムを実施する
プロセスの標準化:
- 脆弱性の評価、優先順位付け、修復のための標準化された手順を開発する
- 一般的な脆弱性の修復活動のテンプレートとチェックリストを作成する
- セキュリティ関連の更新に関する変更管理手順を確立する
- セキュリティに関する決定とリスクの受け入れに関する文書化標準を実装する
ツールの統合:
- Vulnerability Management(脆弱性管理)ツールを既存の開発ワークフローと統合する
- 脆弱性データと修復ステータスのための信頼できる唯一のソースを確立する
- 自動化されたレポートおよび通知システムを作成する
- セキュリティツールとプロジェクト管理システム間の統合を実装する
成功の測定と継続的な改善
主なパフォーマンス指標:
- 新たに発見された脆弱性を検出する時間
- さまざまな脆弱性の深刻度レベルにおける修復までの平均時間
- 長期にわたる未解決の脆弱性を伴うエンティティの割合
- パッチ未適用の脆弱性に関連するセキュリティインシデントの数
定期的な評価と改善:
- Vulnerability Management(脆弱性管理)の有効性を四半期ごとにレビューします。
- セキュリティプロセスに関する開発チームからのフィードバック収集を実装する
- 新たな脅威と教訓に基づいて手順を定期的に更新する
- 業界標準とベストプラクティスに対するベンチマークを確立する
重要な考慮事項
リスクに基づく優先順位付け:すべての脆弱性に対して即時の修復が必要なわけではありません。脆弱性の重大度、資産の重要度、悪用可能性、ビジネスへの影響を考慮したリスク評価フレームワークを開発し、情報に基づいた優先順位付けの決定を行います。
誤検知の管理:脆弱性スキャナは誤検知を生成する可能性があります。 存在しないリスクにリソースを無駄に費やさないように、脆弱性を検証し、スキャナーの精度を管理するためのプロセスを確立します。
ビジネス継続性のバランス:セキュリティの改善は、ビジネス運用および開発速度とバランスを取る必要があります。セキュリティ上の懸念が運用上の考慮事項よりも優先される場合、またはその逆の場合について明確なポリシーを確立します。
依存関係管理の複雑さ:最新のアプリケーションには複雑な依存関係ツリーがあります。 潜在的な重大な変更や互換性の問題など、依存関係の更新による影響全体を考慮してください。
コンプライアンス要件:業界によって脆弱性管理(脆弱性管理)の要件は異なります。 プロセスが組織に適用される規制およびコンプライアンス基準を満たしていることを確認します。
一般的な課題と解決策
リソースの制約:リスクベースの優先順位付け、日常業務の自動化、既存のワークフローとの統合を実装して効率を最大化することで対処します。
チーム間の調整:明確な役割の定義、定期的なコミュニケーション、ツールとダッシュボードの共有、開発チーム内でのセキュリティ チャンピオンの確立を通じて問題を解決します。
アラート疲れ:インテリジェントなフィルタリング、優先順位付けアルゴリズム、および低リスク脆弱性の自動修復を実装することで管理します。
技術的負債:定期的なメンテナンス サイクルと技術的負債の削減イニシアチブにセキュリティの改善を組み込むことで対処します。
次のステップ
このスコアカード ルールを実装すると次のようになります。
- CPU 使用率 、 メモリ使用率 、および 変更追跡機能 (Change Tracking) ルールが実装されていることを確認して 、Engineering Excellence フレームワークを完成させます。
- エラー追跡の最適化 を通じてセキュリティ関連のエラーを特定し、 補完的なセキュリティ対策を検討する
- 包括的な脅威検出のための追加のNew Relic Security機能を検討して、高度なセキュリティ監視を実装します。
- すべての観測ドメイン全体にわたる総合的な改善のために、より広範な観測バビリティ成熟度フレームワークを検討する