ネットブレインズ ソリューション事業部 事業部長の矢木眞也氏は、「脆弱性対応とインシデントレスポンスの自動化ソリューション」と題するセッションにおいて、脆弱性対応を通じてインシデント予防に務めるとともに、いざというときには事象を分析し、初期対応に当たるCSIRTの仕事は多岐にわたることを説明した。
CSIRTは脆弱性情報を収集し、脅威の大きさを判断し、リスクを除去したり緩和したりする作業に取り組み、注意喚起を行うが、この「対処」にもさまざまなアプローチがある。既知の脅威であれば、アンチウイルスやWebフィルタリング、スパムメール対策や不正侵入検知、防御(IDS/IPS)を組み合わせた「多層防御」で、かなりの程度リスクを減らすことができる。一方、シグネチャなどが用意されていない未知の脅威については、個々のクライアントPCを管理し、パッチを速やかに適用することが重要だ。
矢木氏は、UTMアプライアンスの「WatchGuard」によって多層防御を、またゾーホージャパンの「ManageEngine Desktop Central」によって資産管理と最新パッチの適用、ソフトウェア配布といった作業を一元的に実現できると説明した。「WannaCryは、パッチ適用さえしていれば感染しなかった。ManageEngine Desktop Centralはパッチを自動で適用し、適用し忘れをなくす」(矢木氏)
矢木氏は最後に、情報の流れを一元管理する「ManageEngine SecriceDesk Plus」によってアラートを整理し、分析・トリアージ作業を支援できると説明。「人手に頼っていては手間が掛かる。各ステップにツールをうまく組み込むことで、CSIRTの運用が楽になる」とした。さらに、WatchGuardの新機能、「WatchGuard Threat Detection and Response(TDR)」を組み合わせれば、クラウド上で行った相関分析の結果に基づき、振る舞い検知でランサムウェアなど新たなマルウェアに自動的に対応し、インシデントレスポンスを自動化できると説明した。
国内外を問わず広く使われている脆弱性スキャナー「Nessus Professional」(Nessus)で知られるテナブル ネットワーク セキュリティ(テナブル)。同社のシニアシステムエンジニア、花檀明伸氏は「脆弱性対策の現状とこれから〜進化するインフラ、高度化するサイバー攻撃への適応〜」と題するセッションで、「攻撃の種類にかかわらず、根本的にサイバー攻撃に対する耐性を高めるソリューション」としての脆弱性管理の重要性を訴えた。
Nessusは、インターネットを介して攻撃者と同じ視点で脆弱性をスキャンする「外部スキャン」、診断対象にログインして内部コマンドを利用し、多方面で脆弱性をチェックする「内部スキャン」、どちらにも活用できる。「外部スキャンと内部スキャンを合わせて実施することで、次の次元の脆弱性対策が実現できる」(花檀氏)。テナブルではこうした検査を支援するため、オンプレミスで利用する「SecurityCenter」と、クラウドサービスの「Tenable.io」という2つのソリューションを用意しており、Tenable.ioについては近々日本語化する予定だ。
花檀氏は「インフラが進化し続ける中、脆弱性管理もその変化に追随しなくてはならない」と述べ、その解決策として「Continuous Monitoring(継続的監視)」というアプローチを提案していると説明した。
Nessusを用いたアクティブスキャンでは「詳細な情報が取れるが、あくまで定期実行だ。つまり、検査の翌日に見つかった脆弱性はその後数カ月放置されるというインターバルが発生してしまう」(花檀氏)。そこで「継続的な監視が必要になることから、パッシブスキャナーの提供を開始した。ミラーポートからトラフィックのコピーをもらい、解析することによって、各エンドポイントが持つ脆弱性を解析できる。アクティブスキャンに比べると見つけられる脆弱性は限られるが、24時間365日、リアルタイムにチェックし、高いレベルでの脆弱性管理が可能になる」という。
テナブルはさらに、WebアプリケーションやIoTデバイスに特化した脆弱性管理を提供する他、仮想マシンやコンテナといった新たなインフラについても脆弱性をチェックできるよう、ソリューションを強化。例えばパブリッククラウド環境において、ライブマイグレーションで頻繁にIPアドレスが変わっても内部スキャンを行えるようにするなど、進化するインフラに対応し続けるという。
「さまざまな攻撃が話題になるが、まず考えるべきは『何を守らなければならないか』だ。資産はサーバやPCといったエンドポイントに集中しており、ここを守らなければならない」――トリップワイヤ・ジャパン(トリップワイヤ)の営業本部シニア・セールスエンジニア、中野貴之氏は、「既知の脆弱性から確実に守るために…Tripwire IP360のご紹介」と題するセッションで来場者にこのように呼び掛けた。
エンドポイントを守るならば、その前提として「何台エンドポイントがあるか」「そこにどんな資産があるか」「どんなリスクがあるか」を把握しなければならない。「つまり、エンドポイントに関する情報が必要だが、有事の際に慌てて集めようとしてもうまくいかないのが常。事前に洗い出し、必要であればどう対応するか訓練しておくことが重要だ」と中野氏は述べた。
往々にして、システム内部にあるエンドポイントは「外に直接面していないからリスクは小さい」と考えられがちだ。しかしこれは誤りだと中野氏は指摘した。「つながっていないから大丈夫という考え方はもう通用しない。100%のセキュリティ対策は存在しない。攻撃を受けてしまう可能性を前提に、何が起きているかをいち早く認識することが重要なポイントになる」(中野氏)
その有効な手段が、システムのどこにどんなリスクがあるかを把握する「脆弱性管理」と、何かあったときにいち早く検出、確認する「改ざん検知」だ。特に脆弱性管理については「既知の脆弱性対策を採っていれば、サイバー攻撃の85%は防ぐことができたという調査がある。一方で脆弱性報告は後を絶たない。自社システムにどんな脆弱性があり、どう対応しているかが見えていない状況では対策が難しい」と中野氏は説明し、その典型例がWannaCryだとした。「騒ぎになったのは2017年5月上旬だが、パッチは3月中旬に公開されていた。だが、セキュリティ対策がしっかりしているだろうと思われる企業でも、パッチが適用されず、甚大な被害が生じた」(中野氏)
トリップワイヤでは、「どんな脆弱性があるか」を、優先順位付けを助けるスコアとともに示し、対処方法も表示する脆弱性管理ツール「IP360」と、ファイルシステムやネットワーク機器、データベースなど多彩な機器を監視し、予定された変更か否かを監視する「Tripwire Enterprise」を提供している。脆弱性の把握によってリスクを可視化し、変更を検知して今システムで何が起きているかを理解するといった具合に2つの製品でサイクルを作ることで「より安全性を高めてほしい」と中野氏は呼び掛けた。
PFUのセキュリティエヴァンゲリスト、小出和弘氏は、「今求められるサイバーセキュリティ対策とは?〜効率的な脆弱性対策/セキュリティ運用の実現に向けて〜」と題する講演において、2017年5月に大きな話題となったWannaCryを振り返った。ランサムウェアは、情報処理推進機構(IPA)の十大脅威の1つとしても取り上げられている。その一種であるWannaCryはWindowsのファイル共有に用いられるSMBプロトコルを介し、脆弱性を突いて感染を広げるが、「事件の前、3月中旬にマイクロソフトが更新プログラムを公開していた。にもかかわらず、2カ月の間に適用しなかったことに原因がある」と小出氏は述べた。
「ここから分かる課題は2つある。1つは、全ての端末の状況を把握できていないことだ。しかもOSだけではなくOfficeなどのアプリケーションも対象に含めなければならない。もう1つは全ての利用者がパッチの更新を徹底できていないことだ。だがルールを定めるだけでは対策の徹底は難しい」(小出氏)
PFUではこうした課題を踏まえ、端末の脆弱性対策を徹底するためのソリューションとして「iNetSec Inspection Center」を提供している。端末がネットワークに接続する前に「OSやアプリケーションのパッチが適用されているか」「ウイルス対策ソフトの設定ができているか」といった事柄をチェックし、管理者に代わって対応を促す仕組みだ。ルールを定めた「検疫辞書」の配布サービスを組み合わせることで、「ポリシー作成の手間が不要で、楽に運用できる」(小出氏)ことが特徴という。さらに、管理対象外の端末や脆弱な状態の端末をネットワークから自動的に遮断する「iNetSec SF」を組み合わせることで、より徹底した対策が可能だと説明した。
また、通信を解析し、攻撃行動に特徴的な動きを検出する「iNetSec MP」を活用すれば、脅威がどこからダウンロードされ、どのように拡散しているかを見える化し、iNetSec SFと連携して被害を最小限に抑えることも可能という。PFUが提供する「標的型サイバー攻撃対策支援サービス」やオンサイト対処支援も組み合わせることで、限られた人材で効率的な運用、対処を支援するとした。
デルの傘下ではあるが、あくまでベンダーニュートラルな立場で脅威を観測・解析し、インテリジェンスサービスを提供しているセキュアワークス・ジャパンでは、コンサルティングから監視、事故発生時の対応を支援するインシデント対応サービスに加え、自社システムの弱いところを攻撃者の視点で洗い出す「RedTeam」など、幅広いサービス群を提供している。
同社 MSS事業部 MSS統括部長を務める浜田譲治氏は「膨大な脆弱性に対しどのように優先順位をつけ対処すべきか」と題するセッションにおいて、自らの経験を踏まえ「脆弱性は入浴や歯磨きと同じで、日々のシステム運用の中でどうしても付き合わざるを得ない相手だ。ただ、膨大な作業を全て手作業でやるのではなく、いかに効率化し、リスクを軽減するか、そして見えないものをどうやって見えるようにするかがポイントだ」と述べた。
浜田氏が推奨するのは、まず「整理」すること。システムの一覧を設け、どこを重視すべきかを考える。次に、攻撃者のターゲットになりやすい脆弱性から順に対処していく。そこで役立つのが脆弱性診断ツールだが、「導入したはいいけれど、山のようなレポートが生成され、いったいどれが重要か分からないことも多い。どの脆弱性が悪用される可能性が高いかという情報がなければ、どのパッチを優先して適用すべきか、優先順位付けが分かりにくい」(浜田氏)ことが課題だ。
その判断を手助けするものとして浜田氏は「脆弱性診断とセキュリティ監視の融合を提案したい。スレットインテリジェンスに加え、セキュリティのプロフェッショナルによるSOCの監視状況を活用することで、システムの現状や、悪用の可能性が高い脆弱性か否かを見える化する」と述べた。
最後に浜田氏は「脆弱性対策は日常的なもの。それを効率的に進めるには見える化が重要だ」と繰り返し強調し、リスク削減という目的に向け、うまくインテリジェンスと併用しながら、「現状」と「対策」の双方を可視化することが重要だとした。
Copyright © ITmedia, Inc. All Rights Reserved.