検索
連載

脆弱性管理を始める前に知っておきたい、脆弱性スキャナーの種類とその役割脆弱性管理の実践ポイント(1)

自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。初回は、脆弱性スキャナーの種類とその役割について。

PC用表示 関連情報
Share
Tweet
LINE
Hatena

 脆弱(ぜいじゃく)性の管理を外部のセキュリティ診断会社や運用委託会社に依頼するのではなく、自社で実施しようと考えている企業が近年急増している。「日々リリースされる大量の脆弱性に対して、年に1回だけの診断だけでは対応が追い付かない」というのが主な理由だが、この流れは脆弱性診断ツールの発達により加速している。ところが、いざ「脆弱性管理を実施しよう」とすると、意外と簡単にはいかないことが分かってくる。

 本連載では、脆弱性スキャナーの種類や脆弱性管理のステップについて一歩踏み込んで解説することで、各企業がスムーズに脆弱性管理に取り組んでいけることを目指している。

 連載は、下記のような内容を予定している。

  • 第1回:脆弱性スキャナーの種類とその役割
  • 第2回:脆弱性管理をどのように成熟させていくべきか
  • 第3回:脆弱性管理導入のためのステップ

 初回は、脆弱性スキャナーについて解説する前に、脆弱性管理システムの基本的な構成について説明する。

脆弱性管理システムの構成

 脆弱性管理システムは、ほとんどの場合「スキャナー」と「マネジャー」で構成されている。スキャナーというのは、いわゆる「脆弱性スキャナー」のことであり、スキャン対象における脆弱性情報を自動的に収集する役割を担っている。

 マネジャーは複数あるスキャナーを一元的に管理する役割と、スキャナーで収集した脆弱性情報をレポートやダッシュボードを通じてユーザーへ提供する役割を担っている。

 マネジャーではさらに、スキャナーによって収集された脆弱性情報を一元的に管理しているため、任意の脆弱性を検索したり、脆弱性対応を管理したりすることができる。

 脆弱性管理システムの構成について理解したところで、脆弱性スキャナーの種類と特徴について説明する。

ネットワーク型スキャナー

 脆弱性スキャナーの中で、最も一般的に利用されているのが「ネットワーク型スキャナー」だ。これは「エージェントレス型スキャナー」とも呼ばれている。

 ネットワーク型スキャナーは「どこからスキャンを実施したいか」によって設置場所を自由に変えることができる。インターネット側から公開システムに対してスキャンしたい場合はインターネット上に配置することになるし、内部システムに対してスキャンしたい場合は内部ネットワーク上に設置する。

 ネットワーク型スキャナーの利点は大きく2つある。

 1つ目は「攻撃者目線での脆弱性の有無を確認できる」点である。「ネットワーク越しに脆弱性があると、スキャナーが判断できる」ということは、攻撃者も、同様にその脆弱性の存在をネットワーク越しに知り得ることになる。つまり、より危険な脆弱性を発見できるのだ。

 2つ目の利点は「エージェントが不要」ということだ。IoT機器やネットワーク機器、OT機器などエージェントの導入が困難なデバイスは多々存在している。ネットワーク型のスキャナーであれば、そうした機器であっても脆弱性情報の収集が可能となる。

 一方でネットワーク型スキャナーはスキャン実行時点で、対象のデバイスがスキャナーから到達可能なネットワーク上に存在していなければいけないという制約がある。ノートPCを社外に持ち出している場合や、サーバを停止している場合は、スキャンができないことを理解しておく必要がある。

認証スキャンと非認証スキャン

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  2. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  3. AIチャットを全社活用している竹中工務店は生成AIの「ブレーキにはならない」インシデント対策を何からどう進めたのか
  4. 人命を盾にする医療機関へのランサムウェア攻撃、身代金の平均支払額や損失額は? 主な手口と有効な対策とは? Microsoftがレポート
  5. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  6. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. ゼロトラストの理想と現実を立命館大学 上原教授が語る――本当に運用できるか? 最後は“人”を信用できるかどうか
  9. Gartnerが語る「ランサムウェアの身代金は支払うべきか」問題
  10. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
ページトップに戻る