脆弱性管理とセキュリティ診断サービスの未来とは：脆弱性対策・管理入門（終）

脆弱性対策の重要性を基本から説明し、脆弱性スキャナー／管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。

[阿部淳平, 草薙伸，テナブル・ネットワーク・セキュリティ・ジャパン]

　脆弱（ぜいじゃく）性対策の重要性を基本から説明し、脆弱性スキャナー／管理システムの有効性を説く連載「脆弱性対策・管理入門」。連載第5回では、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について説明した。アンチウイルスソフトやファイアウォールの利用により組織内のセキュリティはある程度強化できるが、脆弱性を突く攻撃には、それらの対策では不十分であることが分かった。

　最終回となる今回は、脆弱性管理と「セキュリティ診断サービス」の未来について考える。キーワードは“継続性”と“リスクへのフォーカス”だ。

セキュリティ診断サービスとは

　セキュリティ診断サービスは「脆弱性診断サービス」とも呼ばれ、サーバやネットワーク機器、ミドルウェアやWebアプリケーションにおける脆弱性の有無をチェックしレポートを提供するサービスだ。

　セキュリティ診断サービスを提供する会社は、経済産業省が策定した「情報セキュリティサービス基準」に適合しているものだけで70社を超えている。セキュリティ診断サービスは通常「ワンショット」、つまり1回だけ実施される。いわば年に1回受診する健康診断のようなものである。

セキュリティ診断サービスの限界

　セキュリティ診断サービスを受けていれば、果たして安心なのだろうか。セキュリティ診断サービスは最低限受けるべきものであって、当然ながら受けていれば組織内がセキュアになるわけではない。これは健康診断を受けていても病気になることはあるのと同様である。

　現状のセキュリティ診断サービスにおいて不足している点は大きく2つある。

　1つ目はセキュリティ診断サービスを受ける“頻度”の問題だ。

　セキュリティ診断サービスを受ける回数を問われた場合、年に2回以上と回答する企業はほとんどいないだろう。多くの企業ではセキュリティ診断を受ける頻度について、年に1回と定めており、定められた以上の回数を実施することは“まれ”である。

　PCI DSS（Payment Card Industry Data Security Standard）など厳しいセキュリティ基準が設けられている場合でも、せいぜい四半期ごとのセキュリティ診断を実施するにとどまる。

　しかしながら、年に1回だけの診断で不十分なのは明らかだ。なぜなら、脆弱性というのは年に1件だけ顕在化するものではなく、年間1万件以上が新規で登録されるものだからだ。

　連載第3回で取り上げた、「WannaCry」で悪用された脆弱性に関しても、その公開から世界的な流行まで2カ月かかっていない。つまり、セキュリティ診断サービスを受けた翌日以降に公開された脆弱性について、その状況を知るのは次回の診断サービス、つまり1年後になってしまう。

　2つ目の課題が、セキュリティ診断サービスの“対象が部分的である”ことだ。

　連載第4回の記事で取り上げたように、脆弱性対策は公開サーバだけでは不十分だが、セキュリティ診断サービスを受ける対象は、一部公開サーバや重要システムのみにとどまっている場合が多い。攻撃される対象がクラウドやIoT、クライアントPCに広がっている以上、それらに対しての診断サービスも提供されるべきである。

SOCサービス

　セキュリティ診断サービスと並んで企業が受けているサービスとして人気なのが、「SOC（Security Operation Center）」サービスだ。SOCサービスとは一般的に、ファイアウォールやSIEM（Security Information and Event Management）などを使用してログを解析し、サイバー攻撃を検知・分析するものである。

　セキュリティ診断サービスが年に1回の実施にとどまるのに対して、SOCサービスは24時間・365日で提供されている。

　SOCサービスでは継続監視が行われているのにセキュリティ診断が年に1回しか実施されていないのはなぜだろうか。

　これは「数年前までは脆弱性の絶対量が少なく、また診断ツールが成熟していないがために手動診断を実施せざるを得なかった」というのが大きな理由だ。いまは診断ツールの発達により手動での診断が必要ではなくなってきている。むしろセキュリティ診断サービスを継続的に提供することはサービスを提供する側にとっても受ける側にとってもメリットが多い。

年1回の診断から継続監視への転換

　年に1回だけのセキュリティ診断から継続的な監視への転換を図ろうとした場合、それが自組織で内製化されるにしてもサービスを受けるにしても、間違いなく課題となることがある。それは「脆弱性が多過ぎて対応し切れない」ということだ。

　脆弱性は、繰り返しになるが、年間1万件以上も新規に登録されている。それら全てに対してすぐに対処するのは不可能だ。そこで重要になるのが脆弱性に対しても「リスクベース」のアプローチを採用するということだ。米国立標準技術研究所（NIST）の「サイバーセキュリティフレームワーク」にしても、経済産業省が策定した「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」にしてもリスクベースのアプローチを推奨している。

　当たり前のことだが、脆弱性があるからといってそれがすぐにセキュリティインシデントにつながるわけではない。攻撃コード（エクスプロイトコード）が存在していなければ攻撃されることはないし、その脆弱性が重要システム内に存在する場合とそうではない場合で、そのリスクは変わってくる。

　しかしながら、残念なことに脆弱性の管理に関してはリスクベースのアプローチを取っておらず、存在する脆弱性を片っ端から対処するか、そもそも何もしないか、となってしまっている組織が大半だ。

　例えば、ある日10個の脆弱性が発見された場合を想定してみよう。もちろん10個の脆弱性全てを対処するのが理想的だが、仮に3つまでしか対処できないとした場合、どの3つを選択すべきなのか。「被害の大きさ」「悪用される可能性の高さ」といったリスクにフォーカスした視点ではなく、対処が簡単な3つを選んでしまっていないだろうか。

脆弱性管理とセキュリティ診断サービスの未来

　セキュリティ診断サービスは近い将来、年に1回限りのサービスではなく継続的にセキュリティリスクを可視化するサービスへと進化を遂げるだろう。

　これは年に1回だけでは日々刻々と変化する脅威に対してのリスクをカバーできないからだ。サービス事業者としては、脅威に対しての動向やインテリジェンス情報を継続的に提供することで、顧客が効率的な脆弱性管理プロセスを運用することに貢献するだろう。

　この継続的な脆弱性管理サービスを提供することは、他にも複数のメリットがある。

　まず、「既存のSOCサービスとの親和性が非常に高い」ということだ。いままでは、SOCサービスにおいて特定の脆弱性を攻撃するログを検知した場合、脆弱性の状態を知るためには顧客のシステム担当者に問い合わせる必要があった。継続的なセキュリティ診断のサービスを同時に提供していれば、SOCで取得したログ情報と脆弱性の状態をマッピングさせることにより、担当者へのヒアリングを実施せずとも、その攻撃の有効性を即座に判断できるようになる。

　また、セキュリティ診断サービスの中で重大な脆弱性が発見された場合、SOCサービスで監視しているファイアウォールなどで緩和策を取ることも可能になる。

　さらに、従来のセキュリティ診断サービスでは、診断ごとに機材を顧客のシステム内に持ち込んでいたが、コロナ渦において機材の持ち込み制限が掛けられる場合が増えている。

　継続的な診断サービスの場合は都度機材を持ち込むのではなく診断ツールを常時設置することになるため、このような問題を回避することもできるだろう。

　セキュリティ診断サービスは十数年の間ほとんど進化することなく今日に至っているが、継続性を持った診断サービスへと進化することにより急激な変化が訪れることになると予想される。これはセキュリティ運用サービスへの橋渡しにもなり、セキュリティ人材不足に悩む企業の悩みをも解決することにつながるだろう。

連載の終わりに

　以上、連載全6回を通して、脆弱性についての用語の説明からセキュリティ診断サービスの未来まで幅広く紹介してきた。

　最後にもう一度強調しておきたいが、日本における脆弱性対策は世界各国に比べると、大きく後れが目立っている。今後コロナ禍をきっかけに日本国内でもリモートワークを支援するインフラへの投資が増えると思われるが、その際にセキュリティの見直しについても大きなテーマになるはずだ。その時、いま一度脆弱性対策への取り組みを見直してみてはいかがだろうか。

　VDI（仮想デスクトップインフラストラクチャ）やEDR（エンドポイントでの検出と対応）ほど大きな投資をせずとも効果的にセキュリティを維持する手法としても、世界で既に活用されている脆弱性管理は一考に値するはずだ。