システム内が見えないこと、分からないことこそ「リスク」：Nessus×セキュリティ・ダークナイト

「自社内にどんな端末がどのくらいあって、どれが脆弱なのか」という単純な問いに答えられない企業は多いと、セキュリティスキャナー「Nessus」の開発元、米テナブル・ネットワーク・セキュリティは指摘する。

[高橋睦美，＠IT]

　「大規模なネットワークになると、『どんな資産がどのくらいありますか？』というシンプルな質問に対しても答えるのが難しくなってくる」――セキュリティスキャナー、「Nessus」の開発元である米テナブル・ネットワーク・セキュリティのCEO兼CTO、ロン・グーラ氏は、2014年4月18日に行った記者説明会においてこのように指摘。正しい判断を下すために、まずシステムの状況と脆弱性について把握しておくことの重要性を強調した。

　グーラ氏はまず、米小売り大手のターゲットで2013年11月に発生した大量のクレジットカード番号漏えい事件に触れた。この事件では説明が二転三転し、同社の空調管理システムが侵入の足がかりになった可能性が指摘されている。しかも、「実は不正侵入検知システム（IDS）で侵入を検出していたのに、何も対応していなかった。せっかくIDSやアンチウイルス、SIEMに投資をしていたのに、出てきたアラートを無視してしまった」（グーラ氏）。

エンテラシスネットワークスに買収されたIDS製品「Dragon IDS」の作者でもあるグーラ氏。しかし、われわれを取り巻く環境が大きく変わった今、「IDSでパケットを見るだけでなく、ログやシステムの設定情報、ユーザーの振る舞いなど、さまざまな要素を見る必要がある」と述べた

　なぜこんな事態が起こったのか。「そのアラートが何を意味するのか、どんな対応をすべきか分からないのが問題だ」（グーラ氏）。まず現状を把握し、状況がどのように変化しているか、それがどんなリスクにつながるかを測定、評価できる状態を作ることが重要だという。

　Nessusはそのためのツールの1つで、システム内のホストやネットワーク機器、Webアプリケーションやデータベースに存在する脆弱性を検査し、セキュリティ状況を監査する。もともと提供してきたホストに対する脆弱性スキャンに加え、ネットワークトラフィック解析やログ分析といった機能も備えており、システム内の資産とその設定、パッチ適用状況などを一元的に把握できる。

　「『システム内にあるPCは5000台だと思っていたら、実は6000台あった』という具合に、ログだけ、マルウェアだけ、あるいはコンプライアンス状況だけを見ていては、多くを見落とすことになる。これに対しNessusは1つの画面に情報を集約し、包括的かつ継続的なビューを提供することが特徴」（グーラ氏）。単に脆弱性を発見するだけでなく、その深刻度や悪用の可能性、リスク評価に基づいて、どれから順にパッチを適用すべきかなど、対処の優先順位付けを支援するとした。

　同社はまた、Nessusの調査対象範囲を、典型的なITシステムだけでなく、モバイル機器やクラウド、さらにはSupervisory Control And Data Acquisition（SCADA）やターゲットでの侵入経路となったHeating, Ventilation, and Air Conditioning（HVAC：暖房、換気、および空調）システムなど、インフラを支える制御システムなどにも広げているという。「私は今回の来日でテーマパークに行ったり、地下鉄に乗ったりしたが、その背後には非常に大規模で複雑で、それぞれ異なるシステムが存在する」（グーラ氏）。脆弱性スキャンとネットワークトラフィックおよびログの収集を通じて、そうしたシステムに関する情報も提供していくとした。

　さらに最近では、不正侵入の検知だけでなく、監査もリアルタイムに実現したいというニーズが寄せられているといい、「脆弱性の有無だけでなく、監査についてもリアルタイムに行えるよう、継続的なモニタリングを提供し、IT部門がリスクを理解して適切に判断を下す手助けをしたい」とした。

「ゼロリスク」という幻想を打ち破れ

　この日はソフトバンク・テクノロジー 技術統括プラットフォーム＆データソリューション本部 シニアセキュリティエバンジェリスト 辻伸弘氏とグーラ氏の対談も行われた。

Nessusの利用歴は10年以上というソフトバンク・テクノロジー 技術統括プラットフォーム＆データソリューション本部 シニアセキュリティエバンジェリスト 辻伸弘氏

　辻氏は学生の頃からNessusを利用してきたという。「攻撃者がどういうことをしてくるかを知るためにも、こうしたツールは有用だ。自分はNessusにオープンソースのIDSであるSnortを組み合わせて利用し、外からの攻撃だけでなく内側から外側に向けた動きも含めて、非常に広がりを持って見ることができた」（辻氏）。

　辻氏はかねがね、日本人は完璧主義のゆえか、どうもリスクとの付き合い方が下手で、「入ってくる前に守る」部分に注力しがちだと感じているという。「しかし、人間はどんなに風邪をひかないよう努力しても、ひくときはひいてしまう。大事なのは風邪をひいても死なないこと。それと同じように、『やられるときはやられるが、たとえ侵入されても、これだけは絶対守る』という部分を決めて守るべきではないか」（辻氏）。

　これに対しグーラ氏は、「インシデントレスポンスの際には、インシデントレスポンスチーム（IRT）が全てのデータを持っている必要がある。Snortでアラートを受けて初めて、『あれ、こんなシステムがあったんだ』と気付くのではなく、普段から全てのシステムをスキャンしておくことで、ログに対して効果的な対策を取ることができる」と述べた。

　例えば、4月に話題となったOpenSSLのHeartbleed脆弱性についても、スキャンしてみて初めて、それまで把握していなかったOpenSSLが発見されたケースがあったそうだ。

　また「Heartbleedの脆弱性を悪用して情報を盗もうとする試みがないかチェックするならば、そのようなコネクションがないか、適切にログを取り、継続的にモニタリングしなければならない」（グーラ氏）。逆に、同じ脆弱性でも、侵入ベクトルや環境によってリスクの度合いは変わってくる。脆弱性のないバージョンのOpenSSLを利用しているならば、どれだけアクセスがあろうと恐れる必要はないことになる。

　これを受けて辻氏は、「見えていないものをどれだけ減らせるかがポイントになる」と述べた。「例えばクライアントPC一つ取っても、脆弱なJavaが入っているかどうか分からないこともある。クライアントにせよ何にせよ、ネットワークの中に何があるか分からないのが一番怖いこと。どんな資産があって、どんなバージョンを使っているかを把握することが第一歩だ」とした。従って、「今、どんな攻撃が流行っているか」という情報だけでなく、その脆弱性がどこにあるかを確認する方法や守る方法なども重要だという。

　グーラ氏も、「人はゼロリスクを求めたがるが、“全てのサービスは侵害され得る”という前提でネットワークを設計すべきだ。同時に、不正な振る舞いを見付けるための仕組みも必要」と述べ、セキュリティを考慮せずにネットワークを作って後から付け足すのではなく、先を見越して戦略を立てるべきと提言した。