脆弱性管理をどのように成熟させていくべきか――成熟度向上における6つのポイント：脆弱性管理の実践ポイント（2）

自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。今回は、いかにして脆弱性管理の成熟度を向上させるかについて。

[花檀明伸，テナブル・ネットワーク・セキュリティ・ジャパン]

　企業がスムーズに脆弱（ぜいじゃく）性管理に取り組めることを目指して、脆弱性スキャナーの種類や脆弱性管理のステップについて解説する本連載「脆弱性管理の実践ポイント」。連載第1回では、脆弱性スキャナーの種類と役割について解説した。今回は、特性の異なる各種のスキャナーを用いて、いかにして脆弱性管理の成熟度を向上させるかについて説明する。

　成熟した脆弱性管理を実現するために考慮すべきポイントは多岐にわたる。主要な課題と選択可能なオプションについて、マトリックスとしてまとめたのが図1だ。

図1

　マトリックスに記した全ての側面で最高を目指すことは、特に脆弱性管理対策の導入初期においては容易なことではない。人的リソースの準備や教育、何よりも組織ごとに異なるセキュリティポリシーに適合したプロセスの確立など、運用を継続する中でこそ分かってくることも多い。重要なのは、現在の立ち位置、つまり脆弱性管理の成熟度を正しく把握し、成熟度を向上させるための次のアクションを継続的に検討することだ。

　ここからは、マトリックスにある個々のポイントについて解説する。

診断対象

　脆弱性診断の対象をインターネット公開サーバに限定している組織は、現在でも多数存在する。しかし、今日の巧妙化したサイバー攻撃に備えるためには、公開サーバのみを対象とした脆弱性対策では不十分だ。

　標的型攻撃を例にとると、いわゆる「クライアントPC」を最初に狙うのが一般的だ。ターゲットとなる利用者のPCに存在する脆弱性をあらかじめ調査して、その脆弱性を悪用する攻撃コードをメールやWeb閲覧を介して送り込む。

　また、パブリッククラウドやコンテナ、IoTなど、新しいテクノロジーを活用したIT資産がサイバー攻撃に利用されるケースも増えている。これらのテクノロジーは利便性や生産性の向上に寄与する一方で、これまでになかった攻撃の機会を産んでいる。

　他には、VPNサーバをはじめとしたセキュリティ機器自体も攻撃のターゲットになっている。リモートワークのためのVPNサーバの脆弱性が悪用され、多数の情報漏えいが発生した事件は記憶に新しい。OT（産業用制御システム）を標的とした攻撃も近年は増加している。

　あらゆるIT資産が攻撃者のターゲットとなり得ることを理解し、優先度を付けて対象範囲を拡大することが、脆弱性管理の成熟度の向上には重要となる。

診断方法

　2020年11月現在、最も普及しているといえる脆弱性診断方式は、「非認証スキャン」だ。スキャナーから診断対象にさまざまなパケットを送信して、その応答から脆弱性を判断するやり方で、「攻撃者目線でのチェック」とも呼ばれる。攻撃者が直接参照可能な脆弱性を容易に検出できる半面、ブラウザやオフィスアプリケーションなど、サーバプロセス以外の脆弱性を検出できないという制約もある。

　連載第1回で説明した「認証スキャン」を併用することで、より広範なソフトウェアの脆弱性を識別できる。動的IPアドレスの環境など、認証スキャンが困難な場合には、連載第1回で説明した「エージェント型スキャナー」を利用することも選択肢となる。

　また、認証スキャンを有効にする際には、構成監査を併せて実施することもお勧めしたい。不適切な設定や設定ミスを把握することで、セキュリティインシデントを未然に防ぐことが可能となる。加えて、連載第1回で説明した「パッシブ型スキャナー」を利用した継続的な監視についても言及しておく。リアルタイムで脆弱性を発見したり、シャドーIT（野良サーバ）を迅速に発見したりすることもできる。

診断頻度

　公表される脆弱性の総数は年々増加しており、2019年は2万件近い新たな脆弱性が見つかっている。これは、1日当たり50件程度にもなる。リアルタイムでの検査を実施するパッシブ型を除き、発見可能な脆弱性は“スキャンの時点”で明らかになっているものに限定される。つまり、1年に一度のスキャンであれば約2万件が、半年に一度のスキャンであれば約1万件がスキャン対象から外れてしまう。脆弱性管理の成熟度向上のためには、スキャン頻度の短縮は必須の要件となる。

　スキャン頻度の短縮を検討する際には、サーバ管理者との日程調整が課題になることが多い。万一、システムに悪影響が発生した場合に備えて、サーバ管理者が待機した状態でスキャンを実施するためだ。一方で、頻度短縮は回数増と同義であり、人的負荷軽減のための自動化が求められる。エージェント型スキャナーの利用など、診断対象に与える負荷を軽減するスキャン方式を検討することと併せて、個々のサーバ管理者に依存しない統合的なサービス監視体制を整備して、両立が難しい課題に取り組んでほしい。

脆弱性対処の優先度

　前段でも述べたように、公表される脆弱性の総数は増加の一途をたどっている。当然の帰結となるが、検出される脆弱性の数も増加し、優先して対処すべき脆弱性の特定が脆弱性管理における重要な要件となっている。

　優先度の判断においては、「CVSS（Common Vulnerability Scoring System）」という公的なスコアを利用するのが一般的だ。0.0から10.0の100段階で脆弱性の深刻度を表す指標で、数字が大きいほど深刻度は高くなる。

　しかし今日では、CVSSのみに基づいた優先度管理の限界が叫ばれている。新規に公開される脆弱性の多くが高スコアとなっており、優先度の決定が困難であることや、潜在的な深刻度を表す指標であり、現実の攻撃動向と必ずしも一致しないことなどが主な理由だ。

　新しい取り組みとして、脅威の動向（脆弱性の利用状況）を考慮し、加えて脆弱性が存在するIT資産の重要度を関連付けた「リスクベースでの脆弱性管理（Risk Based Vulnerability Management、RBVM）」が主流になりつつある。

エコシステム

　検出した脆弱性に対して統合的に対処するためには、他のセキュリティソリューションとの連携がポイントとなる。

　具体的には、脆弱性への直接的な対処となるパッチ管理システムや仮想パッチソリューションとの連携、対処のワークフローを監督するITサービスマネジメント（ITSM）との連携などが代表例だ。その他にも、SIEM（Security Information and Event Management）やSOAR（Security Orchestration, Automation and Response）と連携した統合的なセキュリティ情報管理、資産管理ソリューションとの連携も考えられる。

　エコシステムを活用することで脆弱性情報をさらに有効に活用できるため、積極的に検討してみてはいかがだろうか。

組織のビジネスへの関与

　脆弱性を適切に管理してセキュリティインシデントを予防することは、組織のビジネス遂行にとっても重要な意味を持つ。言い換えれば、脆弱性への対処は個別の部署が限定的に実施すべきものではなく、経営層を含めた組織全体での理解が必要だ。

　各種セキュリティガイドラインへの準拠は、組織の価値向上にも寄与する。脆弱性管理をビジネス遂行に必要な要素として位置付け、組織を横断した管理体制の構築が求められる。

次回は、脆弱性管理導入のためのステップ

　ここまで、脆弱性管理の成熟度を向上させるためのポイントについて解説してきた。冒頭でも述べたように、導入当初から“完全”を求めるのではなく、現在の状況を的確に認識して継続的に改善する姿勢が重要となることを理解してほしい。

　次回は「脆弱性管理導入のためのステップ」について説明する。

筆者紹介

花檀 明伸

テナブル・ネットワーク・セキュリティ・ジャパンのセキュリティエンジニア。脆弱性スキャナーの「Nessus」の他、IT/OTを統合した包括的なセキュリティ製品である「Tenable.io」「Tenable.sc」「Tenable.ot」などを担当。ネットスクリーン・テクノロジー、シスコシステムズ、ファイア・アイなどのセキュリティ企業を経て2016年から現職。