TXOne Networks
ヒーロー背景

脆弱性のスコアリングをやめ、重要なものの優先順位付けを始めましょう。

業務上の脆弱性管理:CVEを抽象的にではなく、実際のOT環境のコンテキストでスコアリング

VSAR(脆弱性状況認識評価)は、TXOne Senninの中核にある業務リスクスコアリング手法です。アセットインベントリ、プロトコル露出状況、補完的コントロールのステータス、仮想パッチの適用範囲を取り込み、運用チームが実際に実行できる優先度付きの脆弱性リストを生成します。

業務コンテキストに基づく脆弱性スコアリング

理論的な最悪ケースではなく、実際の業務を反映した脆弱性スコアリング

CVSSは、脆弱性が単独で存在した場合にどれだけ深刻かを示します。VSARは、今この瞬間に、貴社の特定のアセット上でどれだけ深刻かを示します。

エアギャップ環境のシステムに仮想パッチが適用されている場合、CVSS上のCritical脆弱性でも、ネットワーク接続されたアセット上のModerate脆弱性より低い優先度に位置づけられます。VSAR(脆弱性状況認識評価 / Vulnerability Situational Awareness Rating)はその違いを捉えます。アセットがネットワーク上のどこに位置するか、どのような保護がすでに適用されているか、TXOneの仮想パッチが導入されているかどうか、そのアセットが業務においてどれだけ重要かを評価します。そのうえで、抽象的な深刻度スコアではなく、実際の業務リスクを反映した優先度リストを生成します。

Pages.capabilityEyebrow

VSARとは?

VSARはTXOne Senninの中核にある脆弱性スコアリング手法です。アセットインベントリ、プロトコルおよびネットワーク露出データ、補完的コントロールの状況、TXOne Edgeからの仮想パッチ適用範囲、業務上の重要度タグを取り込み、アセットごとにCVEの業務加重リスクスコアを算出します。結果は80/20の優先順位付けです。業務に実際の脅威をもたらす20%のCVEが上位に浮かび上がり、そうでない80%はその根拠とともに優先度が下げられます。VSARはSenninの承認ワークフローと連携して機能するため、企業セキュリティチームからの修復提案は、現場フロアに何かが展開される前に現場でレビューおよび承認されます。

Pages.complianceRequirements

Pages.capabilityChallengesTitle

Pages.capabilityChallengesDescription

脆弱性が放置されたまま、修復のタイムラインが数ヶ月に延びます

IT/OTの修復における断絶

企業のセキュリティチームがCVSSスコア9.8の脆弱性を特定します。30日以内にパッチを適用するよう指令が出されます。現場チームは対象システムを確認します。生産ライン3を動かすPLCです。パッチを適用するためにオフラインにすると、4時間の停止が必要です。その停止は6週間先にスケジュールしなければなりません。その間、現場チームはリスクを文書化し、受け入れ、企業チームにスケジュールに入っていると報告します。両チームは正しく職務を遂行しています。しかし、脆弱性は6週間にわたって放置されたままです。

Pages.frameworkKeyComponents

主要コンポーネント

Pages.capabilityComponentsDescription

業務コンテキストに基づくリスクスコアリング

VSARは脆弱性を単独でスコアリングしません。TXOne展開全体からライブデータを取得し、各アセット周辺の実際のセキュリティコンテキストを把握します。ネットワーク露出状況、補完的コントロール、保護状況、業務上の重要度です。各CVEのスコアは、汎用的な最悪ケースの計算ではなく、特定の環境を反映しています。

主要な機能

TXOne Edgeからのネットワーク露出データ:どの脆弱なポートが実際にアクセス可能かを把握
TXOne Edgeからの仮想パッチ適用範囲:どのCVEがネットワーク層で積極的に緩和されているかを把握
TXOne Stellarからのエンドポイント保護状況:アプリケーション制御、OSバージョン、パッチ状況
TXOne Elementからの検査履歴:既知のクリーン状態、最終検証日
Pages.capabilityOutcomesLabel

Pages.capabilityOutcomesLabel

80/20

実際に重要なものへのリスク優先順位付け

CPS脆弱性の状況におけるCISAアドバイザリ
パッチが存在しないCISAアドバイザリ
パッチも緩和策も存在しないアドバイザリ
OTスキルとリソースのギャップを挙げている

VSARがCVSSと異なる理由

VSARは、CVSSでは提供できない業務コンテキストを脆弱性スコアリングに加えます。

TXOneOperations-first

VSARは、TXOne Edge(ネットワーク露出状況、仮想パッチのステータス)、TXOne Stellar(エンドポイント設定、アプリケーション状態)、TXOne Element(検査履歴)からデータを取り込み、各アセットが実際にどのように保護されているかを把握します。仮想パッチが展開された3つのファイアウォールセグメントの内側にあるシステムの脆弱性は、補完的コントロールのないインターネット向けシステムの同じ脆弱性とは異なるリスクです。VSARはその違いを認識します。CVSSは認識しません。

VS
クロスプロダクトのセキュリティコンテキスト

Legacy approach creates operational risk

TXOneOperations-first

VSARはスコアリングに業務上の重要度の重み付けを適用します。安全システムを制御するPLC上の脆弱性は、コンフィギュレーションバックアップに使用されるエンジニアリングワークステーション上の同じ脆弱性とは異なるスコアになります。業務上の重要度は現場チームが定義します。生産ゾーン、安全機能、交換の難しさでアセットにタグを付けます。VSARはそれらのタグをリスクスコアの重み付けに使用します。現場チームは、自分たちが認識でき、対応できるリスクリストを受け取ります。

VS
業務上の重要度による重み付け

Legacy approach creates operational risk

TXOneOperations-first

VSARスコアリングの結果は、80/20の優先順位付けです。典型的なOT環境では、業務コンテキストでスコアリングした場合、脆弱性の約20%が実際に業務に脅威をもたらします。これらが修復が必要なものです。残りの80%は、補完的コントロールによって緩和されているか、ネットワークセグメンテーションによってブロックされているか、特定の環境では悪用不可能か、業務上の重要度が低いものです。VSARは重要な20%とそうでない80%を分離します。

VS
現場が実行できる80/20の優先順位付け

Legacy approach creates operational risk

TXOneOperations-first

企業のセキュリティチームが修復アクションを提案すると、現場フロアに届く前にSenninOneの承認ワークフローを経由します。現場チームは提案された変更をレビューし、業務上の知見と照合して、文書化された根拠をもとに承認または却下します。企業チームは沈黙ではなく、構造化された回答を得られます。現場チームは自分たちのシステムに何が行われるかについての制御を維持します。両チームは同じリスクデータを使用します。

VS
IT/OT承認ワークフロー

Legacy approach creates operational risk

TXOneOperations-first

VSARスコアリングは、TXOne Edgeからの仮想パッチ適用状況とTXOne Stellarからのエンドポイント保護状況を統合します。CVEに仮想パッチが展開されている場合、VSARはそのアセットの実効リスクスコアを引き下げます。リスクスコアは現実を反映します。どの脆弱性が存在するかだけでなく、導入済みのTXOne製品によってどれが積極的に保護されているかも示されます。コンプライアンスレポートは、脆弱性、補完的コントロール、VSARスコアの残存リスクという完全な全体像を監査担当者に提示します。

VS
仮想パッチとエンドポイントステータスの統合

Legacy approach creates operational risk

Operations-first security that works with your production environment

VSARが貴社の環境をどのようにスコアリングするかをご確認ください

代表的なアセットを対象にVSARウォークスルーをご予約ください。業務コンテキストを適用することで、CVSSの重大脆弱性バックログが生産を実際に脅かす脆弱性に絞り込まれる様子をご確認いただけます。