脆弱性管理とセキュリティ診断サービスの未来とは：脆弱性対策・管理入門（終）

脆弱性対策の重要性を基本から説明し、脆弱性スキャナー／管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。

[阿部淳平, 草薙伸，テナブル・ネットワーク・セキュリティ・ジャパン]

　脆弱（ぜいじゃく）性対策の重要性を基本から説明し、脆弱性スキャナー／管理システムの有効性を説く連載「脆弱性対策・管理入門」。連載第5回では、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について説明した。アンチウイルスソフトやファイアウォールの利用により組織内のセキュリティはある程度強化できるが、脆弱性を突く攻撃には、それらの対策では不十分であることが分かった。

　最終回となる今回は、脆弱性管理と「セキュリティ診断サービス」の未来について考える。キーワードは“継続性”と“リスクへのフォーカス”だ。

セキュリティ診断サービスとは

　セキュリティ診断サービスは「脆弱性診断サービス」とも呼ばれ、サーバやネットワーク機器、ミドルウェアやWebアプリケーションにおける脆弱性の有無をチェックしレポートを提供するサービスだ。

　セキュリティ診断サービスを提供する会社は、経済産業省が策定した「情報セキュリティサービス基準」に適合しているものだけで70社を超えている。セキュリティ診断サービスは通常「ワンショット」、つまり1回だけ実施される。いわば年に1回受診する健康診断のようなものである。

セキュリティ診断サービスの限界

　セキュリティ診断サービスを受けていれば、果たして安心なのだろうか。セキュリティ診断サービスは最低限受けるべきものであって、当然ながら受けていれば組織内がセキュアになるわけではない。これは健康診断を受けていても病気になることはあるのと同様である。

　現状のセキュリティ診断サービスにおいて不足している点は大きく2つある。

　1つ目はセキュリティ診断サービスを受ける“頻度”の問題だ。

　セキュリティ診断サービスを受ける回数を問われた場合、年に2回以上と回答する企業はほとんどいないだろう。多くの企業ではセキュリティ診断を受ける頻度について、年に1回と定めており、定められた以上の回数を実施することは“まれ”である。

　PCI DSS（Payment Card Industry Data Security Standard）など厳しいセキュリティ基準が設けられている場合でも、せいぜい四半期ごとのセキュリティ診断を実施するにとどまる。

　しかしながら、年に1回だけの診断で不十分なのは明らかだ。なぜなら、脆弱性というのは年に1件だけ顕在化するものではなく、年間1万件以上が新規で登録されるものだからだ。

　連載第3回で取り上げた、「WannaCry」で悪用された脆弱性に関しても、その公開から世界的な流行まで2カ月かかっていない。つまり、セキュリティ診断サービスを受けた翌日以降に公開された脆弱性について、その状況を知るのは次回の診断サービス、つまり1年後になってしまう。

　2つ目の課題が、セキュリティ診断サービスの“対象が部分的である”ことだ。

　連載第4回の記事で取り上げたように、脆弱性対策は公開サーバだけでは不十分だが、セキュリティ診断サービスを受ける対象は、一部公開サーバや重要システムのみにとどまっている場合が多い。攻撃される対象がクラウドやIoT、クライアントPCに広がっている以上、それらに対しての診断サービスも提供されるべきである。

SOCサービス

　セキュリティ診断サービスと並んで企業が受けているサービスとして人気なのが、「SOC（Security Operation Center）」サービスだ。SOCサービスとは一般的に、ファイアウォールやSIEM（Security Information and Event Management）などを使用してログを解析し、サイバー攻撃を検知・分析するものである。

　セキュリティ診断サービスが年に1回の実施にとどまるのに対して、SOCサービスは24時間・365日で提供されている。

　SOCサービスでは継続監視が行われているのにセキュリティ診断が年に1回しか実施されていないのはなぜだろうか。

　これは「数年前までは脆弱性の絶対量が少なく、また診断ツールが成熟していないがために手動診断を実施せざるを得なかった」というのが大きな理由だ。いまは診断ツールの発達により手動での診断が必要ではなくなってきている。むしろセキュリティ診断サービスを継続的に提供することはサービスを提供する側にとっても受ける側にとってもメリットが多い。

年1回の診断から継続監視への転換