検索
連載

脆弱性管理とセキュリティ診断サービスの未来とは脆弱性対策・管理入門(終)

脆弱性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載。最終回は、脆弱性管理とセキュリティ診断サービスの未来について。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 脆弱(ぜいじゃく)性対策の重要性を基本から説明し、脆弱性スキャナー/管理システムの有効性を説く連載「脆弱性対策・管理入門」。連載第5回では、脆弱性対策におけるアンチウイルスソフトやファイアウォールの有効性について説明した。アンチウイルスソフトやファイアウォールの利用により組織内のセキュリティはある程度強化できるが、脆弱性を突く攻撃には、それらの対策では不十分であることが分かった。

 最終回となる今回は、脆弱性管理と「セキュリティ診断サービス」の未来について考える。キーワードは“継続性”と“リスクへのフォーカス”だ。

セキュリティ診断サービスとは

 セキュリティ診断サービスは「脆弱性診断サービス」とも呼ばれ、サーバやネットワーク機器、ミドルウェアやWebアプリケーションにおける脆弱性の有無をチェックしレポートを提供するサービスだ。

 セキュリティ診断サービスを提供する会社は、経済産業省が策定した「情報セキュリティサービス基準」に適合しているものだけで70社を超えている。セキュリティ診断サービスは通常「ワンショット」、つまり1回だけ実施される。いわば年に1回受診する健康診断のようなものである。

セキュリティ診断サービスの限界

 セキュリティ診断サービスを受けていれば、果たして安心なのだろうか。セキュリティ診断サービスは最低限受けるべきものであって、当然ながら受けていれば組織内がセキュアになるわけではない。これは健康診断を受けていても病気になることはあるのと同様である。

 現状のセキュリティ診断サービスにおいて不足している点は大きく2つある。

 1つ目はセキュリティ診断サービスを受ける“頻度”の問題だ。

 セキュリティ診断サービスを受ける回数を問われた場合、年に2回以上と回答する企業はほとんどいないだろう。多くの企業ではセキュリティ診断を受ける頻度について、年に1回と定めており、定められた以上の回数を実施することは“まれ”である。

 PCI DSS(Payment Card Industry Data Security Standard)など厳しいセキュリティ基準が設けられている場合でも、せいぜい四半期ごとのセキュリティ診断を実施するにとどまる。

 しかしながら、年に1回だけの診断で不十分なのは明らかだ。なぜなら、脆弱性というのは年に1件だけ顕在化するものではなく、年間1万件以上が新規で登録されるものだからだ。

 連載第3回で取り上げた、「WannaCry」で悪用された脆弱性に関しても、その公開から世界的な流行まで2カ月かかっていない。つまり、セキュリティ診断サービスを受けた翌日以降に公開された脆弱性について、その状況を知るのは次回の診断サービス、つまり1年後になってしまう。

 2つ目の課題が、セキュリティ診断サービスの“対象が部分的である”ことだ。

 連載第4回の記事で取り上げたように、脆弱性対策は公開サーバだけでは不十分だが、セキュリティ診断サービスを受ける対象は、一部公開サーバや重要システムのみにとどまっている場合が多い。攻撃される対象がクラウドやIoT、クライアントPCに広がっている以上、それらに対しての診断サービスも提供されるべきである。

SOCサービス

 セキュリティ診断サービスと並んで企業が受けているサービスとして人気なのが、「SOC(Security Operation Center)」サービスだ。SOCサービスとは一般的に、ファイアウォールやSIEM(Security Information and Event Management)などを使用してログを解析し、サイバー攻撃を検知・分析するものである。

 セキュリティ診断サービスが年に1回の実施にとどまるのに対して、SOCサービスは24時間・365日で提供されている。

 SOCサービスでは継続監視が行われているのにセキュリティ診断が年に1回しか実施されていないのはなぜだろうか。

 これは「数年前までは脆弱性の絶対量が少なく、また診断ツールが成熟していないがために手動診断を実施せざるを得なかった」というのが大きな理由だ。いまは診断ツールの発達により手動での診断が必要ではなくなってきている。むしろセキュリティ診断サービスを継続的に提供することはサービスを提供する側にとっても受ける側にとってもメリットが多い。

年1回の診断から継続監視への転換

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  2. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  3. 「生成AIのサイバー攻撃への悪用」は増加する? 徳丸浩氏が予測する2025年のセキュリティ
  4. 3割程度のSaaS事業者が標準的なセキュリティ対策をしていない アシュアードがSaaS事業者を調査
  5. Google Chromeの拡張機能を安全に使用するには? Googleが解説
  6. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  7. 中小企業の20%の経営層は「自社はサイバー攻撃に遭わない」と信じている バラクーダネットワークス調査
  8. 「SQLite」のゼロデイ脆弱性、GoogleのAIエージェントが見つける AIは脆弱性調査の課題をどう解決したのか?
  9. Google、オープンソースのセキュリティパッチ検証ツール「Vanir」を公開 多種多様なAndroidデバイスの脆弱性対応を支援するアプローチとは
  10. AWS、組織のセキュリティインシデント対応を支援する「AWS Security Incident Response」を発表 アラートに圧倒されるセキュリティチームをどう支援?
ページトップに戻る