テナブルネットワークセキュリティジャパン

インフラに潜む脆弱性を監視・診断
セキュリティ被害の拡大を未然に防止

自社のビジネスを守るべく、多くの企業がインシデントレスポンス体制の強化や各種ソリューションの導入を進めている。しかし、そもそもしっかりとした脆弱性対策ができていれば、被害の拡大を抑えられるケースも少なくないはずだ。テナブルネットワークセキュリティジャパンでは、外的リスクに晒されている資産「サイバーエクスポージャー」の定常的な監視・診断を行うことで、安全なインフラ環境の実現を支援している。

ターンレフトの発想で
効果的に安全を守る

テナブルネットワークセキュリティジャパン株式会社 シニアセキュリティエンジニア 花檀 明伸氏
テナブルネットワークセキュリティジャパン株式会社
シニアセキュリティエンジニア
花檀 明伸
 「セキュリティ対策に取り組む際には、ぜひ『ターンレフト』の考え方を取り入れていただきたい」こう強調するのは、テナブルネットワークセキュリティジャパンの花檀 明伸氏だ。

 元々このターンレフトとは、ソフトウエア開発の分野で生まれた言葉である。ソフトウエア開発は、コーディング、品質検査、本番稼働というステップで進む。もし、本番稼働後に何か不具合が発生した場合、その修正には多くのコストを要する上に影響範囲も大きい。しかしその左側の段階、つまり品質検査で不具合が見つかれば、より効率的に対処することができる。さらにその前のコーディングの時点で見つかれば、負担をもっと軽減することが可能だ。

 「この考え方は、セキュリティにもそのまま当てはまります。おそらく多くの企業では、CSIRT(Computer Security Incident Response Team)を組織したり、検知・防御ソリューションを導入したりしているでしょう。しかし、より効果的な対策を実施する上では、サイバーセキュリティにおける一番左側の部分である『サイバーエクスポージャー』にフォーカスすることが肝心です」と花壇氏は続ける。

 同社が2017年に提唱したサイバーエクスポージャーは、金融用語のエクスポージャーに由来する。「金融業界では、市場の価格変動などの外的リスクに晒されている資産、あるいはそうした資産の比率をエクスポージャーと呼びます。これと同じように、外的リスクに晒されているIT資産、例えば脆弱性や各種設定、システム構成などが適切に管理されているか把握し、リスクに対処できるようにするのがサイバーエクスポージャーのコンセプトです」と花壇氏は説明する(図1)。  その具体例としては、SSL-VPNの脆弱性が挙げられる。テレワークで広く使われるようになったSSL-VPN製品が情報漏えいリスクの元となってしまったことから、日本でも大きな問題となった。

 「しかし、この脆弱性に関しては、実は既にパッチが公開されていました。既知の脆弱性というサイバーエクスポージャーへの対処が適切でなかったために、攻撃の対象とされてしまったのです」と花壇氏は指摘する。同様にランサムウエア「Ryuk」では、Active Directory(AD)の設定ミスがサイバーエクスポージャーとなった。これもADの権限昇格を許すような設定ミスを防いでおけば、被害は起きなかったといえる。

 「米国フロリダ州では水処理施設がサイバー攻撃の被害に遭いましたが、この場合のサイバーエクスポージャーは産業用制御システムそのものではなく、施設内で使われていたWindows 7端末でした。サポート切れの古いOSが侵入されたことで、市民の健康や生命が脅かされる結果となったのです」と花壇氏は話す。

多様化する監視・保護対象に
確実に対応

 このような攻撃や被害を防ぐべく、同社ではインシデントレスポンスや検知・防御以前のフェーズでの対処を可能にするソリューションを提供している。

 「当社については、社名よりも主力製品である『Nessus(ネサス)』で馴染みがある方も多いと思います。IT資産の脆弱性診断ツールとして生まれたNessusは、グローバルで2万4000社を超える企業で採用されており、セキュリティ診断を手掛けるベンダーでも数多く利用されています。ただし、サーバーエクスポージャーへの取り組みを行う上では、さらに3つの課題があると考えています」と花壇氏は話す。

 まず1点目の課題は、多様化する監視・保護対象への対応だ。これまではサーバーやクライアント、モバイルデバイス、ネットワーク機器といったIT資産を保護すべきとされてきた。産業用制御機器などのいわゆるOTは孤立した環境で動いていており、それによってセキュリティが確保されていたからだ。

 「しかし近年では、工場のスマートファクトリー化に伴いITとOTの融合が進んでいます。もはやOTだから安全と言える状況にはありません。さらには、パブリック/プライベートクラウド上で稼働するアプリケーションに対しても、十分に目配りしておく必要があります」と花壇氏は指摘する。サーバーやDBといった従来型のIT資産だけでなく、IoTデバイスやWebアプリケーションなども含めた幅広い監視対象のサイバーエクスポージャーをカバーできるソリューションが求められているわけだ。

 「そこで当社では、アクティブ/エージェントスキャンやIT/OTのモニタリング、Webアプリ/コンテンツのスキャニングツールなど、広範なアセットを包括的に管理できる仕組みをご提供しています」と花壇氏は話す。

トリアージの効率化と
運用自動化も実現

 続いて2点目はトリアージ(緊急度に応じた優先度)の問題だ。「当社のお客様からは、しばしば『Nessusは正確に脆弱性を見つけてくれるが、数が多すぎてどこから手を付ければ良いか分からない』との声を伺います」と花壇氏は話す。

 こうした状況の裏側には、発見される脆弱性が著しく増加していることがある。2017年を境に、1年間に公開される脆弱性の数は以前の2倍以上に達した。これは、ベンダーや調査機関が脆弱性の発見に力を注いでいることの証でもあり、それ自体は決して悪い事ではない。とはいえ、問題になるのがその数だ。

 「米国のCVSS(共通脆弱性評価システム)では、脆弱性の深刻度を0.0-10.0の100段階で評価していますが、2020年に新たに発覚した脆弱性のうち、深刻度が7.0以上と判定されたものが59%、9.0以上と判定されたものが15%にも上ります。合計約75%の脆弱性が深刻なわけですから、これは事実上トリアージができないということです」と花壇氏は説明する。

 実際に同社があるユーザー企業で実施した調査でも、740のIT資産から4万3000件の脆弱性を発見。CVSSの深刻度が9.0以上のものだけでも、6500件に達したという。「このすべてに同時に対応することはできませんから、いかにして優先度の高いものを絞り込むかが重要になります。当社ではこのような課題に対し、狙われる可能性が高い脆弱性を予測する『VPR』、資産の重要度を考慮して優先度判定を行う『ACR』、サイバーリスクの客観的・定量的測定を行う『CES』などの独自指標を組み合わせることで、効率的なトリアージのご支援を行っています」(花壇氏)。

 さらに3点目の課題が、継続性の確保と自動化である。サイバーエクスポージャーの状況は、日々刻々と変化する。例えばADのようなサービスは、ユーザーの追加や権限設定変更などの作業が常に行われている。また前述の通り年間1万8000以上の脆弱性が公開されるということは、毎日50以上の脆弱性が新たに見つかるということでもある。「このように考えると、予測・改善・確認のプロセスをライフサイクルで回し続けていく必要があることが分かります」と花壇氏は言う。

 もちろん、これを人手で行うと運用が破綻してしまうため、自動化の仕組みが欠かせない。そこで同社では、診断だけでなく分析までトータルに自動化するソリューションを提供している(図2)。今後も同社では「サイバーエクスポージャー」の定常的な監視・診断を行う多彩なソリューションを通じて、安全なインフラ環境の実現を支援していく考えだ。
セキュリティマネジメント Summit 2021 Winter ~ウィズコロナ時代にサイバーリスクとどう向き合うか、先進企業の事例に学ぶ~
お問い合わせ
テナブルネットワークセキュリティジャパン株式会社 テナブルマーケティング
E-mai:info-j@tenable.com