脆弱性評価の原則

1. 脆弱性管理の概要

---

脆弱性評価とは何ですか?

脆弱性評価は、攻撃者がネットワークを悪用してシステムやデバイスに不正アクセスする可能性を削減するために、アタックサーフェス内の弱点を検出、分析、軽減できるようにする方法です。

アタックサーフェスが拡大し続けている状況下で、企業をサイバーリスクから保護することは難しい作業です。 脆弱性評価プログラムは、アタックサーフェス内の盲点を排除して企業のリスクを低減します。また、すべての資産の検出と分析が可能になるため、企業にとって最大のリスクとなる脆弱性や弱点の修正計画の策定にも役立ちます。

脆弱性評価と脆弱性管理の違いとは?

脆弱性評価と脆弱性管理は異なるものですが、補完関係にあります。

脆弱性評価は、すべての資産と脆弱性を特定するために定期的に実施される、1 回限りのプロジェクトです。 一般的に、脆弱性評価は、脆弱性スキャンとは異なり、開始日と終了日が指定されています。 ある特定の時点におけるアタックサーフェスの状態を表すスナップショットです。

一方、脆弱性管理は、さまざまなツールとプロセスを使用して組織全体のすべての資産と脆弱性を特定する継続的なプログラムです。問題の軽減、弱点の修正、全体的なセキュリティ態勢を改善する方法の計画にも脆弱性管理は役立ちます。

脆弱性評価は、脆弱性管理プログラム全体の一部として、サイバーリスクの継続的な特定と対処に役立ちます。

2. 資産、脆弱性、アタックサーフェス

---

脆弱性とは何ですか?

脆弱性とは、攻撃者がシステムを侵害し、データや情報にアクセスするために悪用できるハードウェアまたはソフトウェアの弱点または抜け穴のことです。基本的に、これらは「バグ」、またはプログラミングのミスです。

一般的に、脆弱性の修正とは、コード内の問題を修正する (パッチ適用) か、設定ミスを修復して運用上のセキュリティを向上させることを意味します。

システムが複雑になるほどコードの行数が多くなるため、コード内にプログラミングのミスが発生する可能性が高くなります。 そのため、たとえばオペレーティングシステムに関しては、「問題に対処するためにアップデートが必要である」という通知が頻繁に届きます。

システム設定が間違っている場合にも脆弱性が見つかる可能性があります。そのような脆弱性からも、攻撃者がネットワークを悪用する隙が生まれます。

攻撃者がよく使用する、企業を標的とした脆弱性と弱点の悪用の手口をいくつか紹介します。

• 設定ミスやパッチが適用されていないシステムの悪用
• フィッシング: 実在する組織を装って偽の E メールを送信し、ユーザーをだましてユーザー名、パスワード、支払い情報などを開示させる手法
• 認証情報の窃取: 多数の異なるサイトで同じユーザー名やパスワードを使用するユーザーが多いことを悪用して、最初の侵害でユーザー名とパスワードを収集した後に、その情報を使用して他のサイトにアクセスする手法
• マルウェア: 攻撃者にシステムへのアクセスを許可させる、悪意のあるソフトウェア
• サービス拒否 (DoS) 攻撃と分散型サービス拒否 (DDoS) 攻撃: 帯域幅を使い果たすフラッド攻撃により、システムが本物のサービス要求に応答できないようにする手法
• クロスサイトスクリプティング (XSS): ウェブサイト上に悪意あるコードを配置して訪問者を標的にする手法
• 中間者 (MITM) 攻撃: 保護されていないネットワーク (パブリック WiFi など) を通じてユーザーを侵害する手法
• SQL (Structured Query Language) インジェクション: サーバー上に悪意あるコードを配置して SQL を悪用し、他の方法ではアクセスできない機密情報にアクセスする手法
• ゼロデイエクスプロイト: 脅威の公表後、パッチや修正がリリースされる前にシステムを悪用する手法

主な脆弱性の種類

Open Web Application Security Project (OWASP) では、脆弱性の上位一覧を管理しており、直近では 2021 年に更新されています。 OWASP の一覧は、ウェブアプリケーションの最も深刻な 10 種類のセキュリティリスクについて、詳しく説明しています。 そのリスクを、以下に挙げます。

1. A01:2021: アクセス制御の不備
2. A02:2021: 暗号化の失敗
3. A03:2021: インジェクション
4. A04:2021: 安全でない設計
5. A05:2021: セキュリティの設定ミス
6. A06:2021: 脆弱で古いコンポーネント
7. A07:2021: 識別と認証の失敗
8. A08:2021: ソフトウェアとデータの整合性の障害
9. A09:2021: セキュリティのロギングと監視の失敗
10. A10:2021: サーバーサイドリクエストフォージェリ

企業のアタックサーフェスとはどのようなものですか?

今日のアタックサーフェスはもはや、サーバー、デスクトップマシン、ネットワークといった従来の IT 資産に限定されません。 DX 時代のアタックサーフェスには、ノートパソコン、スマートフォン、タブレットなど、インターネットに断続的に接続される動的デバイスや、IoT (モノのインターネット) デバイス、オペレーショナルテクノロジー (OT)、コンテナ、クラウド環境なども含まれています。

大半の企業では自社のすべての資産を常時可視化しきれていないことを攻撃者は知っています。 また、ほとんどの脆弱性評価プログラムでは膨大な脆弱性が検出されるため、その緩和と修正も課題になります。攻撃者は常に優位に立っていると感じるのも無理はありません。 サイバーリスク全般を低減するためには、堅牢で柔軟性があり、拡張性の高い脆弱性評価プログラムを開発して、すべての資産と脆弱性について継続的に検出と評価を行うことが重要です。

アタックサーフェスを調査するときに必ず実行すべきステップがいくつかあります。

1. 資産の種類に関係なく、企業のすべての資産を特定する。Tenable の脆弱性評価ソリューションでは、アタックサーフェスについての包括的な洞察を提供します。
2. 各資産の場所を把握する。
3. 各資産の責任者とアクセス権を持つユーザーを把握する。
4. 資産の種類 (クラウド、モバイル、従来の IT、IoT など) を示す。
5. ビジネスの運営にとって重大な資産かどうかを判断し、適切に優先順位を付ける。
6. 重大な各資産について、脆弱性が与える潜在的な影響を評価する (ビジネスの継続性、影響の深刻度など)。

可視性に関する課題

今日の IT 環境は、最新かつ広大です。つまり、ほとんどの環境に盲点が存在しており、アタックサーフェス全体について包括的な洞察を得ることができません。

アタックサーフェスを評価する際によく直面する課題の一部を紹介します。

• ネットワーク上に短時間しか接続されない資産 (または、ネットワーク上にまったく現れない資産) の検出と監視が困難である
• オフネットワークのエンドユーザーデバイスの検出と保護が困難である
• 自社で独自のアプリケーションコードを作成する場合、コード内の脆弱性の検出が困難になる。
• IoT デバイスの脆弱性評価が比較的新しく、まだ成熟していない。 IoT デバイスは従来の IT 資産と同じ方法で保護されていない場合もあるため、関連する弱点を検出することが難しい
• オペレーショナルテクノロジー (OT) は、パッシブで非侵入型の評価方法でしか評価できないことが多いため、使用している脆弱性評価プログラムでは対応できないことがある。
• 重大なシステムの評価では、日常業務や企業の目標に支障をきたすことなく実行することが難しい
• クラウドを導入すると柔軟性とスケーラビリティを得られるが、資産の保護が困難になる。 多くの場合に、盲点、コンプライアンス上の問題、ガバナンス上の課題が発生する
• モバイルデバイスの使用が (特に機密データを保護する適切なセキュリティ制御が適用されていない場合)、企業のセキュリティリスクになる
• 大半の企業には、多くのウェブアプリケーションが存在する。 これらのアプリケーションは、頻繁に更新されている。従って膨大な数のアプリケーションと更新プログラムが存在するため、企業全体で使用されているアプリケーションの数を常に把握することが難しい
• アプリケーションコンテナではソフトウェアが短時間で新規導入されるため、セキュリティチームが最新の状況を常に把握することが難しく、可視性の課題となる

脆弱性評価スタイル

---

脆弱性評価にはさまざまなタイプがありますか?

　 脆弱性評価スタイルは、一般的に 4 つのタイプに分けられます。 これは、Tenable Research のチームが 2,100 社以上の企業を分析した結果で、サイバー防御戦略レポートで発表したものです。

次の 4 つのタイプが脆弱性評価スタイルです。

• 最少主義型: 最少主義型は、コンプライアンス要件で義務付けられている必要最低限の脆弱性評価を行います。 調査対象企業の約 33% が最少主義型であり、選択した一部の資産のみに限定された評価を行っています。 このような企業はリスクにさらされており、サイバーセキュリティ体制の改善のためには多くの取り組みが必要です。
• 概観型: 概観型は、最少主義型よりも頻繁に脆弱性評価を実施しますが、対象範囲は絞られていません。 調査対象企業の約 19% が概観型でした。 概観型による評価では、認証は使用されず、スキャンテンプレートのカスタマイズも行われないため、セキュリティ体制のレベルは、低から中程度にとどまります。
• 調査型: 調査型による脆弱性評価は、高い成熟度を有しています。しかし、評価は選択した一部の資産に対してのみ実施されます。 調査対象企業の約 43% が調査型でした。 このタイプの企業には、強固な脆弱性評価戦略があります。評価は適切な頻度で実施されており、対象を絞るためのスキャンテンプレートや、資産の認証と優先付けも活用されています。 成熟度のレベルは最高 4 の次の 3 です。プログラムのサイバーセキュリティ体制の成熟度はまだ完璧ではありません。
• 勤勉型: 勤勉型の脆弱性評価スタイルは、最高レベルの成熟度です。 ディリジェントの企業はわずか約 5% でした。これらの企業では、すべての資産はほぼ継続的に可視化されており、高い頻度で評価が実施されています。 勤勉型の企業の資産カバレッジは包括的で、対象を絞ってカスタマイズした評価が実施されています。 また、個々の場合に応じてスキャンの調整も行われています。

4.脆弱性評価ソリューション

---

脆弱性評価を行う必要があるのはなぜですか?

パッチ未適用のソフトウェアや誤った設定のシステムなどの弱点は、企業に破壊的な影響をもたらす可能性があります。

環境への侵入が 1 回成功すると、たとえば、重要な資産にランサムウェアを仕掛けるフィッシング攻撃が成功したとすると、修復および回復費用として数十万ドルのコストが発生したり、ダウンタイムが数日以上続いたり、顧客を失って売上と収益が減少したり、ブランド毀損や風評被害が起きたりする可能性があります。場合によっては、攻撃の成功により事業が永久に停止するおそれもあります。

過去 10 年間で 10,000 件を超える侵害が発生しており、組織はサイバー攻撃に対してますます脆弱になっています。

攻撃者は弱点を悪用してシステムに侵入する方法を常に探していますが、攻撃方法として一般的なものは、マルウェアとフィッシングです。 ランサムウェア攻撃の平均復旧コストは 200 万ドル近くに上り、あらゆる規模の組織にとってランサムウェアの脅威は増大し続けています。

平均すると、13 秒につき 1 社がランサムウェアの犠牲になっています。 最も効果的な侵入方法はフィッシングメールで、攻撃の 91% がフィッシングから始まっています。 過去 1 年間に、76% の企業がフィッシング攻撃の標的にされたと回答しています。

このような攻撃経路に加えて、資産の種類の量と多様性も増加しているので、セキュリティチームが企業に影響を与える可能性のあるすべての脆弱性に対応して修正することはますます困難になっています。

そのため、今日の最も効果的な脆弱性評価プログラムでは、継続的な資産検出と脆弱性監視を支援するツールとリソースとともに、企業にもたらす実際のリスクに基づいた脅威の優先順位付けを行うプロセスを使用しています。

脆弱性評価プログラムのメリット

脆弱性評価を実施してアタックサーフェス内の弱点を検出して分析することで、攻撃者がネットワークを悪用してデータに不正アクセスする可能性を低減できます。

マルウェアから脆弱なパスワードまで、あらゆる規模の企業に対する脅威は増え続けており、攻撃を阻止して修正するためのコストも増加しています。 そのため、サイバーリスクをより深く理解し、組織の安全を保つために脆弱性評価プログラムを導入することがますます重要になっています。

脆弱性評価プログラムの必要性について迷われている場合は、以下のメリットをご確認ください。

• 脆弱性を検出 脆弱性評価プログラムは、ソフトウェアの欠陥、不足しているパッチ、マルウェア、設定ミスなどのすべての脆弱性を発見するのに役立ちます。これにより、攻撃者がアタックサーフェスに侵入する前に一歩先をゆく形で脆弱性の軽減が可能です。
• アセットをマッピング 組織内のすべての資産を検出することで、アタックサーフェス全体の詳細なマップを作成できます。
• 資産インベントリを最新の状態に維持 資産検出を使用すると、ネットワークにたまにしか接続しない資産や存続期間が短い資産も含め、すべての資産のインベントリを作成できます。
• 自組織のサイバーリスクを把握 脆弱性評価プログラムでは、すべての資産とすべての脆弱性についての洞察が得られます。そのため、サイバーリスクを判断し、それらのリスクを軽減する上でのビジネスおよびセキュリティに関する確固たる意思決定を行えるようになります。また、より強固なセキュリティ体制を構築する上でも役立ちます。
• パッチを監査 脆弱性評価プログラムは、設定変更に関する洞察など、パッチ適用計画をより適切に管理するのに役立ちます。したがって、修復戦略の成功に向けて、より適切な計画と評価が可能です。
• 重要な情報をより良く伝達 脆弱性評価に関するレポートを作成することで、経営陣から顧客に至るまでの主要な関係者に修正を行ったすべての脆弱性や設定ミスの問題について、常に情報を提供できるようになります。

最適な脆弱性評価ソリューションを選択して脆弱性管理プログラムを強化

脆弱性評価ソリューションの選定に際しては企業ごとに異なるニーズがありますが、どの業界にも共通する中核的な考慮事項もいくつかあります。 脆弱性評価ソリューションを評価する際に考慮すべき 4 つのポイントを紹介します。

1. 資産の継続的かつ完全な検出

   最適なソリューションは、資産検出と脆弱性評価に関して、継続的な資産検出やアタックサーフェスの完全な可視化を含めた幅広いカバレッジを提供する必要があります。

ベンダーに質問する内容

資産を継続的に検出するパッシブネットワーク監視を提供していますか?

クラウドベースとオンプレミスのデプロイメント環境の両方で機能するエージェントを提供していますか?

Amazon Web Services (AWS)、Microsoft Azure、Google Cloud Platform (GCP) の環境をライブで可視化できるクラウドコネクタを提供していますか?

2. 評価: 単なるスキャンではない

   今日の最新の IT 環境における資産の評価は、単にスキャンを実行するだけのものではありません。

ベンダーに質問する内容

コンテナイメージのスキャンでは、誤検出を減らすためにレイヤー階層が考慮されていますか?

OT と IoT での脆弱性の検出のためにパッシブモニタリングを提供していますか?

研究チームは、過去 12 か月間でゼロデイ脆弱性を検出しましたか? 検出した場合、その数はいくつでしたか?

3. 修正のためのリスク分析

   包括的な脆弱性評価プログラムではさまざまなデータ収集ツールが使用されているため、多くの場合、対応しきれないほど膨大な脆弱性データが発生します。主な課題は、 収集したすべてのデータの処理、 企業に最大の実影響を与えて近い将来悪用される可能性のある脆弱性の特定、 修正の優先順位付けです。

   機械学習を活用した脆弱性評価ソリューションを使用すると、データを把握できるようになるため、盲点や隠れたパターンを明らかにして、企業に対する将来の脅威をより適切に評価できるようになります。

ベンダーに質問する内容

脆弱性評価は、主にエクスプロイトの有無などの履歴データから判断されますか? それとも、現在の脅威についてのリアルタイムのインテリジェンスを取り入れていますか?

脆弱性評価で機械学習を活用していますか?

資産重大度の自動評価を提供していますか?

4. シンプルな価格設定、ライセンス、スケーラビリティ

   最適な脆弱性評価ソリューションは、シンプルでわかりやすい価格設定とライセンスモデルを提供し、企業の成長や変化に応じて拡張できる必要があります。

5.脆弱性評価のプロセス

---

脆弱性評価プログラムの実施

脆弱性評価プログラムを実施する準備ができていても、どこから始めたらよいかがわからないことがあります。 脆弱性評価プログラムの基盤を構築し、企業の経時的な変化や進化に合わせて脆弱性評価プログラムを改善するために実行できる 5 つの手順を紹介します。

ステップ 1:プログラムの計画

脆弱性評価プログラムを実施する前に、主要な要素を計画して目標を設定します。

まず、企業とセキュリティに関する既存のポリシーと手順を確認することから始めます。

• 最新であることを確認
• 有効であることを確認
• 既存のポリシーと脆弱性評価プログラムの整合方法を確認
• コンプライアンスと規制の要素が含まれていることを確認

既存の計画とポリシーの確認が完了した後、スケジュール、優先順位、目標、定量化できる指標など、脆弱性評価プログラムの対象範囲を定義します。 また、ここで中心メンバーの役割と責任の概要を定義します。

ステップ2: 初回評価

初回評価では、脆弱性評価プログラムを構築するためのベースラインを作成します。

この評価では、すべての環境に含まれるすべての資産を特定します。

資産を特定したら、各資産についてビジネスの運用に関連した重大度を判断する必要があります。 また、各資産の所有者や責任者を決めます。各デバイスにアクセスできるユーザーについての追加情報も必要です。

さらに、初回評価では、閉じておくべきポートが開いていないか、すべてのポートを確認する必要があります。 また、アクティブにすべきではないサービスがアクティブになっていないか、すべてのサービスも確認します。

この初回評価の段階は、システム、プロセス、アプリケーションが最新のものであるかどうかを判断する最適なタイミングです。 すべてのアプリケーションとデータソースを確認します。 これには、すべてのソフトウェアを確認して、資産に未承認のソフトウェアが含まれていないかを判断することも含まれます。 また、設定に問題がないかを調べて、攻撃者が設定ミスを悪用できるかどうかを確認します。

ステップ3: 脆弱性スキャンの実施

このタイミングで最初の脆弱性スキャンを実施します。 推奨されるスキャン対象は、以下のとおりです。

• すべてのアプリケーション
• すべてのポート
• ファイヤーウォール
• CMS システムとウェブプラットフォーム
• HIPAA、その他のコンプライアンス基準や規制基準 (PCI DSS や GDPR など)
• OWASP の上位 10 件の脆弱性
• DoS と DDoS

ステップ 4: レポートの作成

脆弱性スキャンが完了したら、レポートを作成してチームと情報を共有する必要があります。

通常、レポートには、修正の優先順位付けを容易にし、企業のステークホルダーとプログラムの有効性についてのコミュニケーションを円滑に行えるようにするために、以下の情報を含める必要があります。

• 脆弱性の名前と検出日
• 脆弱性の説明と影響を受ける資産
• 導入している評価システム (CVE の CVSS など) に基づいた脆弱性評価
• 脆弱性の修正の計画
• 脆弱性の存続期間
• 脆弱性の修正完了日と修正にかかった期間
• 問題の修正に使用した手順
• フォローアップ手順

ステップ 5: 修正

脆弱性を分析して詳細なレポートをチームと共有できたら、脆弱性の修正計画を策定します。

ほとんどの脆弱性評価では非常に長い脆弱性リストが返されるため、最初に修正すべき脆弱性を把握するのは困難です。 しかし、脆弱性評価システムと資産重大度に基づいて、修正計画の優先順位付けを行えます。

近い将来に企業にとって最大のリスクをもたらす可能性の高い脆弱性から始め、より深刻度の低い脆弱性へと順に作業を進めていきます。

脆弱性評価のベストプラクティス

柔軟性と拡張性に優れた効果的な脆弱性評価プログラムには、以下の機能が必要です。

• すべての IT 環境において、高速で正確なスキャンを可能にする。 スキャンの対象には、デスクトップマシン、サーバー、ネットワークなどの従来のアタックサーフェスだけでなく、スマートフォン、ノートパソコン、タブレットなどのモバイルデバイス、さらにクラウド環境、IoT デバイス、OT デバイス、コンテナなども含まれます。
• 手動の作業や反復的な作業を自動化し、アタックサーフェス内の潜在的な弱点についての洞察の取得と対応を迅速化する。
• 構成可能なレポート作成機能により、評価プログラムの効果についての洞察を提供する。これにより、主要なステークホルダーへのプログラムの有効性の伝達、ギャップの特定、企業全体の目標や目的に沿ったビジネスとセキュリティに関する意思決定の実行が可能になります。
• すべての資産の重大度を判別できるようにし、企業にとって最大のリスクとなる脆弱性の優先順位付けを可能にする。
• パッチ適用と修復の計画を立てて、サイバーリスクとアタックサーフェスのサイズを軽減しながら、日常業務への影響を最小限に抑える。
• Cyber Exposure Score (CES) を決定することで、評価プログラムの成果と、改善や調整が必要な部分について詳細に把握できるようにする。
• プログラムの有効性を比較した社内部署と競合他社とのベンチマーキングによって、サイバーリスクの軽減状況の詳細な情報の提供と、チームや主要なステークホルダーへの伝達を可能にする。

6. 脆弱性とペネトレーションテスト

---

ペネトレーションテストとは何ですか?

ペネトレーションテストは、脆弱性評価プロセスの補足的なコンポーネントです。ペネトレーションテスト担当者は、さまざまな方法を使用してアタックサーフェス内の脆弱性やその他のセキュリティの問題の悪用を試み、既存のサイバーセキュリティ対策の弱点を探します。

通常、ペネトレーションテストはサードパーティによって行われ、アタックサーフェス (またはその一部) に対して意図的に攻撃を仕掛けることで脆弱性が存在することを証明します。 ペネトレーションテストの完了後、テスト担当者から調査結果のレポートが提供されます。この情報を使用して修正の計画を策定し、全般的なセキュリティ体制を改善するための措置を講じます。

脆弱性評価とペンテストはどう違いますか?

脆弱性評価とペネトレーションテストは異なるプロセスですが、連携して機能します。 ペネトレーションテストは、ある特定の時点におけるアタックサーフェスについての詳細情報を提供する単独のアクティビティですが、脆弱性評価は継続的なプロセスです。 ペネトレーションテストは、脆弱性評価プログラムと脆弱性管理プログラムの効果と、対処すべき弱点が存在する場所について理解する上で役立ちます。 また、脆弱性評価プロセスの改善に向けた目標を設定するために、サイバーセキュリティ体制に関する情報を収集する際にも役立ちます。

ペネトレーションテストにはどのような段階がありますか?

通常、ペネトレーションテストには、以下の 5 つの段階があります。

1. ペネトレーションテストは、目標やテストで期待される結果をまとめる計画の段階から始まります。
2. 次に、テストの範囲を決定します。 つまり、ネットワーク全体と特定のサブネットのどちらを対象とするのか、 認証スキャンと非認証スキャンのどちらを行うのか、 セキュリティチームにテストの実施と実施日を通知するかを決定します。
3. さらに、対象とするテストパラメータを決定します。すべてが決定されたら、テスト担当者がテストを開始できます。 このテストの目標は、実際の攻撃と同様の方法でネットワーク内の弱点の検出を試みることです。
4. テストの実行後、テスト担当者によって報告された結果を確認します。
5. その後、確認したテスト結果の情報を使用して、テスト担当者によって検出されたセキュリティ上の問題の修正計画を策定して対応します。

ペネトレーションテストにはどのようなアプローチがありますか?

ペネトレーションテストには 2 つの主要なアプローチがあります。ホワイトボックステスト、ブラックボックステストです。そして、その 2 つを組み合わせた 3 つ目のアプローチであるグレーボックステストもあります。

ホワイトボックステスト: サードパーティのテスト担当者は対象に関する情報を把握しています。このテストは通常、認証が必要な環境内で行われます。

ブラックボックステスト: テスト担当者は対象に関する情報を共有しません。テスト担当者は、認証情報を使用せずにネットワークスイープを実施します。

グレーボックステスト: ホワイトボックステストとブラックボックステストを組み合わせた手法で、企業は対象に関する詳細の一部のみをテスト担当者に提供する場合があります。

Nessus Expert は補完的に活用できるツールで、テスト開始前にアタックサーフェスに存在する脆弱性または弱点の有無を確認できます。

脆弱性スキャンとは?

脆弱性スキャンでは、すべての資産についてアタックサーフェス内の脆弱性と弱点を検出できるため、全般的なサイバーリスクを軽減するための修正計画を策定できます。 Nessus Pro をはじめ、脆弱性スキャンで使用できる自動化ツールは数多くあり、 ネットワーク全体のすべての資産のインベントリの作成に役立ちます。また、自動化ツールを使用すると、デバイスが企業に接続されたときに自動スキャンを実行できるようになります。