Metasploitの生みの親が語る AIで激変するサイバー脅威と防御側がやるべきこと（2/2 ページ）

[三木泉，＠IT]

見えない資産を守ることはできない

　ムーア氏は、Metasploitやこのプロジェクトを獲得したRapid7の職務を離れた後、ペネトレーションテストを行うコンサルタントとして活動した、その中で、企業が自社のIT資産を十分に把握できていないことが大きな弱点だと痛感したという。

　大企業では、事業部ごとに管理権限が分断されており、単一の認証情報で全てのネットワークをスキャンすることは不可能に近い。このため、従来のスキャニングの手法では全社的にIT資産を漏れなく把握することが困難になっていた。また、頻繁にスキャンすることも難しい。

　そこで、ムーア氏は新たな企業を立ち上げ、従来のスキャニングとは異なる手法で、社内の業務用端末、サーバ、ネットワーク機器、OT/IoT機器、サブネットなどのIT資産を発見・識別するツールの開発を始めた。当初の2年間は1人で開発、営業、顧客サポート、フィードバックを受けた製品の改善をこなした。これが現在のrunZeroのプロダクトになったという。

　最大の特徴は、資産を発見・特定するために、エージェントのインストールやログイン用の認証情報を必要としない点にある。具体的には、軽量なアクティブスキャン、ネットワークトラフィックの監視、API連携による情報を総合的に分析して資産を管理する。

　これにより、対象が単なるLinux搭載機器ではなく、「特定のメーカーのスマートTV」なのか「ファイアウォールの管理コンソール」なのかを、認証情報なしで正確に特定できるとする。

　ダッシュボードでは、「KEV（Known Exploited Vulnerabilities）」などのデータと関連付けて、脆弱性の管理が可能だ。

　「新たな脆弱性が公表された際に、再スキャンは不要だ。検索クエリを投げるだけで、脆弱な機器を瞬時に特定し、アップデートできる」（ムーア氏）

　ただし、いわゆる脆弱性管理に閉じた製品ではない。設定ミスや証明書切れ、危険なネットワーク構成などを検出できるという。

　ムーア氏は、継続的な把握のため、少なくとも1日1回、ディスカバリを実行することを推奨している。常にバックグラウンドで実行している企業もあるという。

　「runZeroは今後より包括的な製品に発展していくのか」と聞くと、そうせざるを得ないとムーア氏は答える。「正確な資産インベントリ情報をベースに、包括的なエクスポージャー管理プラットフォームに進化させる」という。