セキュリティ対策の“次の一手”
脆弱性スキャナで実現する
恒常的なセキュリティ管理
武田 圭史
カーネギーメロン大学日本校 大学院
情報セキュリティ研究科 教授
2008/2/21
脆弱性スキャナ製品の例
それでは、代表的な製品を4つ取り上げてみよう。
Internet Scanner(IBMインターネットセキュリティシステムズ)
脆弱性スキャナ製品としては最も古い歴史を持つ製品である。それだけに利用者も多く、製品としては随分とこなれた感があり製品自体が一定の形で完成している感がある。幅広いユーザー層をカバーしてきたためかスキャンポリシーのプリセットが充実している。
以下にスキャンポリシーの例を示す。
- Light Discovery
- Standard Discovery
- Full Discovery
- Maximum Discovery
- Desktop
- Server
- Web Server など
検査対象となる脆弱性のカバレージについては若干オーソドックスな感が否めない。主要な脆弱性については取りこぼしなく検査することが可能だが、最新の脆弱性や未知の脆弱性の検出については早いとはいえない。
図1 Internet Scanner画面 |
製品のユーザーインターフェイスは英語となるが、同製品はこれまで世界中で使用されてきたこともあり各国語への対応が進んでいる。英語、日本語、フランス語、スペイン語など多言語から選択してレポートの出力が可能であり、国際的な環境において使用する際に便利である。
【関連リンク】 Internet Scanner(IBM Internet Security Systems) http://www.isskk.co.jp/product/internet_scanner.html |
Nessus(テナブルネットワークセキュリティ)
無料で利用でき世界中で広く利用されている脆弱性スキャナソフトウェアである。かつてオープンソースソフトウェアとしてGPLライセンスの元で公開されていたが、現在ソフトウェアのコードはテナブルによって管理され非公開となっている。ソフトウェアの日本語対応は行われていないためユーザーインターフェイス、レポートともすべて英語での利用となる。
脆弱性のスキャンデータは数多く提供されているが簡易なものも多く、全般的に質が高くないようである。最新の脆弱性などへの対応は必ずしも早くない。脆弱性スキャナとしてはかなりシンプルな作りで、出力結果は脆弱性そのものの存在というよりはオープンポートと関連する脆弱性の情報が示されるにとどまる。実際に脆弱性が存在しその結果どのようなリスクが存在するかなどの説明はなく、利用者自身が脆弱性情報を別途収集し、結果と照らし合わせて脆弱性の有無やリスクの大きさを確認していく必要がある。
図2 Nessus画面 |
脆弱性スキャナを取りあえず無償で利用してみるといった用途においては十分に実用的であるが、日本語で詳しいレポートの提出が求められるような場合には日本語化された商用製品にはかなわない。
【関連リンク】 Nessus(TENABLE Network Security) http://www.nessus.org/nessus/ |
Retina(イーアイデジタルセキュリティ)
多くの未知脆弱性を発見していることで世界的に知られるイーアイが開発提供している脆弱性スキャナソフトウェアである。
前述のBIOTが実現するようなWindowsによるTCP接続の制限を回避する仕組みを実装している。また対象となるシステムやネットワークの負担にならないように同時セッション数を調整できるほか、パッチ適用の際に発生するサイドエフェクト(副作用)によって脆弱性の有無を確認するなど対象システムの障害や過負荷への配慮も行われている。
図3 Retina画面 |
日本市場向けに日本人技術者によるローカライズや日本固有のアプリケーションへの対応なども行われており、海外の製品としては日本の環境への親和性に優れる。現時点ではマニュアルがシンプルで分りづらい部分があるが、GUIが直感的で操作要領もシンプルなため通常の利用においては問題ないだろう。
本製品の最大の特徴は検出可能な脆弱性のカバレージだろう。開発元であるイーアイ自ら多くの脆弱性を発見していることから、Retinaにはベンダ未公開のものも含め最新の脆弱性スキャンパターンが実装されている。他社のスキャナはベンダが脆弱性情報を公開して初めて検査可能になるのに対して、早期により多くの脆弱性の存在を確認することができ必要な対策を先行的に行うことができる。
【関連リンク】 Retina(eEye Digital Security) http://www.scs.co.jp/eeye/retina.html |
SecureScout(ネクサンティス)
比較的新しい製品であるが日本では人気のある製品である。ユーザーインターフェイスやレポートが完全に日本語に対応しており大変分かりやすい。特にスキャン結果として出力される日本語のレポートの分かりやすさは特筆すべきであり、検出された脆弱性に対して管理者がどのような対応を取る必要があるのかなどが具体的に記述されている。英語の苦手なユーザーやセキュリティを専門としないユーザーにとっても大変利用しやすい製品である。
図4 SecureScout画面 |
スキャン速度自体はほかの製品と比較すると若干もたついて感じられるが、十分に実用的な範囲である。特に大規模ネットワースキャンするような場合には、エージェントを複数配置することによって負荷軽減や平行処理によるスキャン時間の短縮が可能である。
ライセンス管理上スキャン対象が事前に登録したアドレスを持つホストに限定されるため、対象アドレスの変更や構成を変更する際などに自由度が低く若干手間がかかる。
【関連リンク】 SecureScout(ネクサンティス) http://www.nexantis.co.jp/Products/SecureScout/ |
脆弱性スキャナは次の一手として有効
本記事では、大変重要だが見落とされがちなセキュリティ対策である脆弱性スキャンとそのツールを紹介した。脆弱性スキャンは実際に内部・外部からサーバやホスト、ネットワーク機器などにアクセスをして問題がないかを確認する情報セキュリティの最終チェックの役割を果たしている。つまり、脆弱性スキャンが行われずに対策が行われていないネットワークは、誰も最終的な確認を行っていないために脆弱である可能性が極めて高いということである。
ファイアウォールやウイルス対策など、一通り最低限のセキュリティ対策が施されたネットワークにおける“次の一手”として、脆弱性スキャナの導入を検討してみてはいかがだろうか。
3/3 |
Index | |
脆弱性スキャナで実現する恒常的なセキュリティ管理 | |
Page1 脆弱性スキャンのすすめ 脆弱性スキャンの仕組み 脆弱性スキャナの活用による動的なネットワーク管理 |
|
Page2 脆弱性スキャナ使用時の注意 脆弱性スキャナの選定と導入 |
|
Page3 脆弱性スキャナ製品の例 Internet Scanner(IBMインターネットセキュリティシステムズ) Nessus(テナブルネットワークセキュリティ) Retina(イーアイデジタルセキュリティ) SecureScout(ネクサンティス) 脆弱性スキャナは次の一手として有効 |
Profile |
武田 圭史(たけだ けいじ) カーネギーメロン大学日本校 大学院 情報セキュリティ研究科 教授 防衛庁・航空自衛隊、アクセンチュア株式会社勤務、カーネギーメロン大学客員教員を経て大学院情報セキュリティ研究科(日本校)教授に就任。この間、情報セキュリティ分野における研究開発・運用・人材育成・コンサルティングなどに従事 慶応義塾大学大学院政策・メディア研究科後期博士課程修了。博士(政策・メディア)。 情報セキュリティから国家安全保障まで、日々世界平和の実現に向けたセキュリティ技術の研究開発と教育に取り組む。 現在、ITmedia オルタナティブ・ブログにて「武田圭史のセキュアーで行こう!」を執筆中。 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
|
|