COLUMN

コラム

第48回:脆弱性管理をはじめよう(前編)

今回は、脆弱性管理についてのお話をしたいと思います。
なぜアイビーシーが脆弱性管理への取り組みを始めたのかという背景から進めていきたいと思います。

アイビーシーは、自社開発の System Answer シリーズを中心に事業を展開してきました。マルチベンダーの情報を可視化することを目的に製品が作られ、それを用いたアセスメントサービスをおこなっていたわけですが、仮想化技術やクラウドの利用が活発になり性能監視のニーズの増加に伴い、いわゆる監視ツールとして利用される製品に発展しました。

性能監視を実現する手段として自社開発製品の提供および従来からおこなっていた課題ありきのアセスメントサービスだけでなく、現状把握(潜在的な問題点の可視化)やお客様の目的を達成するための製品活用、運用課題を解決するための運用支援サービス、カスタムレポート作成といったサービスを拡充していきました。この活動により、さまざまなお客様の運用課題と向き合い、共に改善に向けた活動をおこなう機会が増えてきました。我々自身でも、MSP サービスとして SAMS を立ち上げ、運用をおこなうようになりました。

運用の場面では、インフラの性能管理だけでなく、クライアントやアプリケーション、さまざまな監視・管理対象があり、ICT インフラの品質維持には性能管理だけでなく、セキュリティ対策も大きな課題としてお客様の困りごとであることがわかってきました。

セキュリティ専業ベンダーではない我々が、何かセキュリティの分野でお役立ちできることはないかと考え、比較的インフラと親和性が高く、これまで我々が培ってきた知識も有効活用できることから、脆弱性管理への取り組みを始めました。

国内では、脆弱性を管理するという運用はまだまだ一般的ではありませんが、WannaCry やランサムウェアといったマルウェアの被害は確実に増えており、私のお客様でもそのようなインシデントに直面しました。

脆弱性管理は、これらマルウェア感染による被害の抑止として、非常に有効な対策のひとつです。

感染対象は、インターネット上の web サイトだけでなく、企業内のクライアントやサーバーも標的であるということを意識しなければいけません。企業内のネットワークは、ファイアウォールで守られているから安全と考えているお客様は、徐々に減ってきているとは思います。

ゼロデイによる攻撃は日常化し、従来のパターンマッチングでは攻撃を防ぐことはできないということを常識として理解しているものの、セキュリティ対策としては不十分なケースが多く見受けられます。

一般的に、これらマルウェアは既知の脆弱性に対して攻撃をおこないます。脆弱性対策をおこなっていれば、被害の拡大を防ぐことができます。やっかいなのは、感染した端末から既知の脆弱性をついて他の端末に横展開され、複数端末に感染が拡大することです。

脆弱性管理にはいくつかの手法がありますが、一般的には資産管理ツールで収集された各端末のインベントリ情報から OS やアプリケーションのバージョンを取得・管理し、重大な脆弱性が発見されたら、パッチ適用やバージョンアップを検討する手法が多いように思われます。

我々が取り扱う ” tenable.io ” では資産管理ベースではなく、リスクベースでのスキャンおよび管理をおこなうことができるソリューションです。OS やアプリケーションに関する脆弱性だけでなく、設定の不備に関するリスクなども可視化することが可能です。

 

共通脆弱性識別子である CVE は、Common Vulnerabilities and Exposures の略称ですが、一般的に脆弱性と呼ばれることが多く、Exposure に着目されるケースが少ないように感じます。

例えば、SNMP の v1 , v2c や Telnet のようなプロトコルは、通信を暗号化する機能を保持していないため、セキュリティリスクが高いことを意識しなければいけません。SNMP のデフォルトのコミュニティ名である public を利用していて、さらに送信元の制限が入っていなければ、リモートからさまざまな情報を取得することが可能ですし、write の権限があれば設定を変更してしまうことも可能だったりします。これは CVE-1999-0517(CVSS ベーススコアは 7.5)で定義されています。このようなリスクは、資産管理ツールでは発見することができないため、注意が必要です。また、クラウドサービスの利用においても各サービス事業者が提供するベストプラクティスにそったシステム構築をおこなうのは、非常に大変です。このような場合も tenable.io では、監査スキャンでリスクを可視化することが可能です。

Tenable 社は、脆弱性スキャナーとしてワールドワイドに実績のある Nessus Professional の開発元の企業です。

Nessus は、セキュリティ診断士に広く利用されている、いわゆるプロフェッショナル向けのツールであり、スキャナーとしては非常に優秀ですが、運用者が管理しやすい UI や継続的な管理をおこなう部分では、機能が不足していました。そこで、継続的なスキャンをおこない、新たな脆弱性の検出、対策により改善されたことが把握できるといった運用に寄り添った機能を盛り込んだクラウドベースの ” tenable.io ” というソリューションがリリースされました。オンプレミス向けには、” tenable.sc ” というソリューションも提供されています。脆弱性を検出するスキャナーは、安心と信頼の Nessus を利用することができるため、高品質なスキャンをおこなうことができます。

 

 

少し長くなってきましたので、次回のコラムにて、tenable.io を活用した脆弱性管理の 3 ステップをお話したいと思います。

by プロダクト&サービス統括部 担当部長 エバンジェリスト 明星 誠

一覧を見る

CONTACT

お気軽にお問い合わせ下さい