日々増える「脆弱性」を何とかしたい企業に贈る、脆弱性管理を導入する前に検討すべき5ステップ：脆弱性管理の実践ポイント（終）

自社で脆弱性管理を実践しようと考えている企業のために、脆弱性スキャナーの種類や脆弱性管理のステップなどを解説する連載。最終回となる今回は、脆弱性管理を導入するための具体的なステップについて。

[花檀明伸，テナブル・ネットワーク・セキュリティ・ジャパン]

　企業がスムーズに脆弱（ぜいじゃく）性管理に取り組めることを目指して、脆弱性スキャナーの種類や脆弱性管理のステップについて解説する本連載「脆弱性管理の実践ポイント」。

　本連載の第1回では脆弱性スキャナーの種類と役割について、第2回では脆弱性管理の成熟度を向上させるための考え方について解説した。最終回となる今回は、脆弱性管理を導入する際に検討すべきステップについて説明する。連載の初めにも述べたが、いざ「脆弱性管理を実施しよう」とすると、意外と簡単にはいかない。そこで、脆弱性管理の導入という最初の1歩を踏み出すときに必要となる検討事項を下図にまとめた。

　ここからは各ステップについて、詳細に解説する。

設計

　脆弱性管理を導入する際の最初のステップは、管理対象を特定することになる。連載の第2回で述べたように、初めから全ての資産を対象にすることはハードルが高い。管理対象とする資産の選定に当たっては、サイバー攻撃の受けやすさ（インターネット公開サーバなど）、資産の重要度（機密情報を取り扱うデータベースなど）から判断するが、このときに意識すべきなのが「アタックサーフェース」という概念だ。アタックサーフェースは攻撃の対象となり得る機能やサービスを意味する。

　例として、インターネットに公開しているWebサーバの場合を考えてみよう。Webサービス（TCP 80/443）はファイアウォールで許可されているため、インターネット側からのアタックサーフェースとなる。一方で、管理用のSSH（TCP 22）にはインターネット側からはアクセスできないので、内部ネットワーク上のアタックサーフェースだ。それぞれの資産が有するアタックサーフェースを正しく認識することで、管理対象とすべき資産の選定に役立てることができる。

　次のステップはシステム設計だ。連載第1回で説明したように、脆弱性スキャナーには複数の種類があり、特性も異なる。同じスキャナーでも、「認証スキャン」と「非認証スキャン」のように複数の診断方法が利用できることもある。脆弱性管理の対象とする資産の種類やアッタクサーフェースに応じて、各種スキャナーをどのように配置し、どのようにスキャンするかを検討する。また、検出した脆弱性に対応する際の方針も、この段階で決めておくことを推奨したい。

　資産の重要度やアタックサーフェースが持つリスク、脆弱性そのものの深刻度などを考慮して、48時間以内での対応、一定期間の容認など、対処の方針を定める。脆弱性管理マネジャーには、これらの分析を自動化するものもあるので、活用してもよい。その上で、対処する際のワークフローを決めておこう。電子メールなどで、サーバなどの資産の管理者に連絡するのが一般的だが、ITサービスマネジメント（ITSM）などのソリューションと連携させることで効率化を図ることもできる。

　設計段階での最後のステップとしてお勧めするのが、資産の検出だ。エージェント型を除く主要な脆弱性スキャナーは、「ディスカバリモード」に対応している。脆弱性診断のように“深掘り”するのではなく、稼働中の資産の検出に特化した簡易的なスキャンのことだ。1つのIPアドレスのチェックに要する時間は短いので、サブネットやIPアドレスのレンジを対象に実行することができる。シャドーIT（野良サーバとも呼ばれる）の存在は脆弱性管理における重要な課題の一つであり、ディスカバリモードでのスキャンをあらかじめ実施することで、存在する全ての資産を確実に可視化したい。

評価