ITpro Special
週間WEEKLY ITpro Special ITpro

IT資産の脆弱性をチェックしリスクを低減

テナブル・ネットワーク・セキュリティ・ジャパン IT資産の脆弱性をチェックし
サイバー攻撃のリスクを低減

サイバー攻撃の脅威が増す中、経済産業省では昨年「サイバーセキュリティ経営ガイドライン」を公表した。企業IT資産の継続的な監視によりアプリケーションやセキュリティの設定の脆弱性を見つけ、リスクを低減する「SecurityCenter CV」を提供しているテナブル・ネットワーク・セキュリティ・ジャパンでは、経営者がガイドラインを順守する上での、同社製品の活用法を説明した。

テナブル・ネットワーク・セキュリティ・ジャパン株式会社
コンサルティングエンジニア
富田 隆一

 サイバーセキュリティ経営ガイドラインは、経営者が認識すべき三つの原則と、情報セキュリティ対策を実施する上で情報セキュリティ統括責任者などへ指示すべき重要な10項目が挙げられている。例えば3原則の一つに、経営者はIT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進める必要があると書かれている。

 また、企業が管理していないシャドーITが原因となり、サイバー攻撃の被害に遭うケースの増加が予測されています。攻撃者は脆弱なデバイスを踏み台に攻撃を仕掛ける。そのため、リスクを把握できないシャドーITを排除する必要がある。「経営者がセキュリティリスクを認識するには、まず自社のITシステムにあるリスクを洗い出すツールが必要になります」とテナブル・ネットワーク・セキュリティ・ジャパンの富田隆一氏は指摘する。

企業の全IT資産の脆弱性を
手間なく自動で検査

 そのツールとなるのが、継続的なネットワーク監視プラットフォームの「SecurityCenter CV(SCCV)」だ。アプリケーションやセキュリティ設定の脆弱性およびマルウエアなどを検出する、脆弱性スキャナーとして豊富な導入実績のある「Nessus」、ネットワークを継続的に監視し、脆弱性や侵入など脅威をリアルタイムに検出する「Passive Vulnerability Scanner」、ログデータを集めて関連付けし、解析を行う「Log Correlation Engine」の各種コンポーネントで構成される。

 SCCVの特長はスキャンする対象が幅広く、エンドポイントのデバイスをはじめ、ネットワークやモバイル、クラウド、アプリケーション、OSなど企業のあらゆるIT資産の脆弱性を手間なく自動的にスキャンできることだ。そして、IT資産のセキュリティ情報を基にリスク管理を行っていく。

 また、同社では企業のサイバーセキュリティ対策を支援するガイドラインとして、「Tenable Network Security CCC(Critical Cyber Controls)」を提供している。「『ハードウエアおよびソフトウエアの分類とリスク管理』『マルウエアと不正侵入の検知』など五つの目標達成に注力することで、サイバー攻撃のリスクを低減できるように考えられています」(富田氏)。

 監視ツールを用いて得られたデータを経営者が分かりやすいよう目標達成状況としてダッシュボードに表示するとともに、セキュリティ担当者は解析ツールを使い問題点を把握し、継続的に対処することで、セキュアなネットワークを実現する。

[画像のクリックで拡大表示]
お問い合わせ