金融業界の考え方を取り入れた「サイバーエクスポージャー」とは――テナブル：＠ITセキュリティセミナー2018.2

＠ITは、2018年2月15日、大阪で「＠ITセキュリティセミナー」を開催した。本稿では、テナブルネットワークセキュリティの講演「サイバーエクスポージャー：サイバーリスクを把握し、効果的に対処するための新たな手法」の内容をお伝えする。

[宮田健，＠IT]

テナブルネットワークセキュリティ セールスエンジニア 梅原鉄己氏

　脆弱（ぜいじゃく）性スキャナーの「Nessus」を提供する、テナブルネットワークセキュリティ（以下、テナブル）は2018年2月15日、＠ITセキュリティセミナーで「サイバーエクスポージャー：サイバーリスクを把握し、効果的に対処するための新たな手法」と題する講演を行った。

　金融業界では「ポートフォリオのうち、特に価格変動リスクにさらされている資産の割合」を指す「エクスポージャー」という考え方がある。

　テナブルでセールスエンジニアを務める梅原鉄己氏は「マルウェア対策や標的型攻撃、不正侵入のような個別の手法に着目するのではなく、現代のアタックサーフェスを適切に管理、計測することで、サイバーリスクを正確に把握、削減する『サイバーエクスポージャー』を考えるべきだ。例えば上位10件の脆弱性を管理すれば、現在ネットワーク上にアクティブな85％の攻撃を防げる」と述べた。

　そのためにまずは企業内の脆弱性を継続的にスキャンし、可視化する仕組みが必要だ。脆弱性スキャナーとして評価の高いNessusをエンジンとし、テナブルはクラウド型脆弱性管理プラットフォーム「Tenable.io」を提供している。

　Tenable.ioは、ネットワークスキャナーによるアクティブスキャンニングに加え、エージェントスキャニングやパッシブモニタリングなどのツールをまとめ、企業内に残る脆弱性情報を可視化できるダッシュボードを備える。この中にはDockerなど、コンテナ内の脆弱性を把握するためのイメージレジストリ機能も用意されている。

サイバーエクスポージャーのライフサイクル（出典：テナブルネットワークセキュリティ）