脆弱性管理をどのように成熟させていくべきか――成熟度向上における6つのポイント：脆弱性管理の実践ポイント（2）

自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。今回は、いかにして脆弱性管理の成熟度を向上させるかについて。

[花檀明伸，テナブル・ネットワーク・セキュリティ・ジャパン]

　企業がスムーズに脆弱（ぜいじゃく）性管理に取り組めることを目指して、脆弱性スキャナーの種類や脆弱性管理のステップについて解説する本連載「脆弱性管理の実践ポイント」。連載第1回では、脆弱性スキャナーの種類と役割について解説した。今回は、特性の異なる各種のスキャナーを用いて、いかにして脆弱性管理の成熟度を向上させるかについて説明する。

　成熟した脆弱性管理を実現するために考慮すべきポイントは多岐にわたる。主要な課題と選択可能なオプションについて、マトリックスとしてまとめたのが図1だ。

図1

　マトリックスに記した全ての側面で最高を目指すことは、特に脆弱性管理対策の導入初期においては容易なことではない。人的リソースの準備や教育、何よりも組織ごとに異なるセキュリティポリシーに適合したプロセスの確立など、運用を継続する中でこそ分かってくることも多い。重要なのは、現在の立ち位置、つまり脆弱性管理の成熟度を正しく把握し、成熟度を向上させるための次のアクションを継続的に検討することだ。

　ここからは、マトリックスにある個々のポイントについて解説する。

診断対象

　脆弱性診断の対象をインターネット公開サーバに限定している組織は、現在でも多数存在する。しかし、今日の巧妙化したサイバー攻撃に備えるためには、公開サーバのみを対象とした脆弱性対策では不十分だ。

　標的型攻撃を例にとると、いわゆる「クライアントPC」を最初に狙うのが一般的だ。ターゲットとなる利用者のPCに存在する脆弱性をあらかじめ調査して、その脆弱性を悪用する攻撃コードをメールやWeb閲覧を介して送り込む。

　また、パブリッククラウドやコンテナ、IoTなど、新しいテクノロジーを活用したIT資産がサイバー攻撃に利用されるケースも増えている。これらのテクノロジーは利便性や生産性の向上に寄与する一方で、これまでになかった攻撃の機会を産んでいる。

　他には、VPNサーバをはじめとしたセキュリティ機器自体も攻撃のターゲットになっている。リモートワークのためのVPNサーバの脆弱性が悪用され、多数の情報漏えいが発生した事件は記憶に新しい。OT（産業用制御システム）を標的とした攻撃も近年は増加している。

　あらゆるIT資産が攻撃者のターゲットとなり得ることを理解し、優先度を付けて対象範囲を拡大することが、脆弱性管理の成熟度の向上には重要となる。

診断方法

　2020年11月現在、最も普及しているといえる脆弱性診断方式は、「非認証スキャン」だ。スキャナーから診断対象にさまざまなパケットを送信して、その応答から脆弱性を判断するやり方で、「攻撃者目線でのチェック」とも呼ばれる。攻撃者が直接参照可能な脆弱性を容易に検出できる半面、ブラウザやオフィスアプリケーションなど、サーバプロセス以外の脆弱性を検出できないという制約もある。

　連載第1回で説明した「認証スキャン」を併用することで、より広範なソフトウェアの脆弱性を識別できる。動的IPアドレスの環境など、認証スキャンが困難な場合には、連載第1回で説明した「エージェント型スキャナー」を利用することも選択肢となる。

　また、認証スキャンを有効にする際には、構成監査を併せて実施することもお勧めしたい。不適切な設定や設定ミスを把握することで、セキュリティインシデントを未然に防ぐことが可能となる。加えて、連載第1回で説明した「パッシブ型スキャナー」を利用した継続的な監視についても言及しておく。リアルタイムで脆弱性を発見したり、シャドーIT（野良サーバ）を迅速に発見したりすることもできる。

診断頻度