脆弱性管理を始める前に知っておきたい、脆弱性スキャナーの種類とその役割：脆弱性管理の実践ポイント（1）

自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。初回は、脆弱性スキャナーの種類とその役割について。

[阿部淳平，テナブル・ネットワーク・セキュリティ・ジャパン]

　脆弱（ぜいじゃく）性の管理を外部のセキュリティ診断会社や運用委託会社に依頼するのではなく、自社で実施しようと考えている企業が近年急増している。「日々リリースされる大量の脆弱性に対して、年に1回だけの診断だけでは対応が追い付かない」というのが主な理由だが、この流れは脆弱性診断ツールの発達により加速している。ところが、いざ「脆弱性管理を実施しよう」とすると、意外と簡単にはいかないことが分かってくる。

　本連載では、脆弱性スキャナーの種類や脆弱性管理のステップについて一歩踏み込んで解説することで、各企業がスムーズに脆弱性管理に取り組んでいけることを目指している。

　連載は、下記のような内容を予定している。

• 第1回：脆弱性スキャナーの種類とその役割
• 第2回：脆弱性管理をどのように成熟させていくべきか
• 第3回：脆弱性管理導入のためのステップ

　初回は、脆弱性スキャナーについて解説する前に、脆弱性管理システムの基本的な構成について説明する。

脆弱性管理システムの構成

　脆弱性管理システムは、ほとんどの場合「スキャナー」と「マネジャー」で構成されている。スキャナーというのは、いわゆる「脆弱性スキャナー」のことであり、スキャン対象における脆弱性情報を自動的に収集する役割を担っている。

　マネジャーは複数あるスキャナーを一元的に管理する役割と、スキャナーで収集した脆弱性情報をレポートやダッシュボードを通じてユーザーへ提供する役割を担っている。

　マネジャーではさらに、スキャナーによって収集された脆弱性情報を一元的に管理しているため、任意の脆弱性を検索したり、脆弱性対応を管理したりすることができる。

　脆弱性管理システムの構成について理解したところで、脆弱性スキャナーの種類と特徴について説明する。

ネットワーク型スキャナー

　脆弱性スキャナーの中で、最も一般的に利用されているのが「ネットワーク型スキャナー」だ。これは「エージェントレス型スキャナー」とも呼ばれている。

　ネットワーク型スキャナーは「どこからスキャンを実施したいか」によって設置場所を自由に変えることができる。インターネット側から公開システムに対してスキャンしたい場合はインターネット上に配置することになるし、内部システムに対してスキャンしたい場合は内部ネットワーク上に設置する。

　ネットワーク型スキャナーの利点は大きく2つある。

　1つ目は「攻撃者目線での脆弱性の有無を確認できる」点である。「ネットワーク越しに脆弱性があると、スキャナーが判断できる」ということは、攻撃者も、同様にその脆弱性の存在をネットワーク越しに知り得ることになる。つまり、より危険な脆弱性を発見できるのだ。

　2つ目の利点は「エージェントが不要」ということだ。IoT機器やネットワーク機器、OT機器などエージェントの導入が困難なデバイスは多々存在している。ネットワーク型のスキャナーであれば、そうした機器であっても脆弱性情報の収集が可能となる。

　一方でネットワーク型スキャナーはスキャン実行時点で、対象のデバイスがスキャナーから到達可能なネットワーク上に存在していなければいけないという制約がある。ノートPCを社外に持ち出している場合や、サーバを停止している場合は、スキャンができないことを理解しておく必要がある。

認証スキャンと非認証スキャン