アタックサーフェス全体を精査して継続的に評価する方法

攻撃される恐れのあるIT資産(アタックサーフェス)全体を完全に理解するには、資産タイプ別に必要な検知・評価ツールを選択することが基本

セキュリティ業界で数年以上の経験がある方ならば、従来のオンプレミス資産だけの IT 環境が、オンプレミスとクラウドベースの両方の環境を網羅した、複合的な環境に進化したことを目撃されていることでしょう。新しい資産タイプには、仮想プラットフォーム、クラウドサービス、コンテナ、ウェブアプリ、OT、IoT などがあります。進化そのものはセキュリティ担当者に充分理解されているものの、それに適応した対応、特に多種の最新デジタル資産を完全に検知して正しく評価できるように修正すること、にはまだまだ追いついていないようです。

その昔、物理的なオンプレミス IT 資産の集合であったときは、ネットワークのほぼ全体が企業のしっかりとした管理下にあるデータセンターと IP アドレススペースに位置していたので、ネットワークの脆弱性スキャナーを実行すれば、資産の全容も、露呈状況も充分把握できました。当時、脆弱性を悪用した攻撃のリスクを評価するには、「大は小を兼ねる」アプローチが一般的で、とにかく何もかも評価の対象にすればリスクが洗い出せるという考え方でした。しかし、資産タイプが多種にわたった今日では、目的に応じてツールを選び、アタックサーフェス全体を安全に、正確に可視化して、環境に存在する資産 1 つひとつのセキュリティ状態を深く理解する必要があります。

現代の資産タイプの大多数を検知して正確に評価するには、それぞれ特定の測定方法やツールが必要になります。いくつかの例をご紹介します。

• クラウドコネクタ クラウド環境はネットワークに物理的に付随していないので、コネクタがないと脆弱性管理プラットフォームと接続状態を維持できません。

• エージェント ラップトップ PC などの資産は、通常のスキャン時にはネットワークに接続されていない場合が多く、脆弱性があっても長期間見逃される危険があります。しかし、この問題は、ローカルでエージェントをインストールすれば、継続監視が可能になり、資産がネットワークに接続されたときに結果を送信できるので解決できます。

•  OT デバイス用のアクティブクエリセンサーの導入　 OT と IoT 環境の資産のほとんどは、特定の目的のために機能するシステムで、従来の IT 資産とは運用が非常に異なっています。 このため、安全にクエリできるセンサー (注意! スキャンではなくクエリ) を使うことが賢明です。ネイティブなコマンドの実行で、脆弱性や設定ミスの有無が判断できます。この方法では、潜在的な攻撃に対して常時監視できるばかりでなく、設定ミス、しきい値の誤りなども監視できます。
• ウェブアプリ用スキャナー　 ウェブアプリは従来の IT 資産とはさまざまな理由で見た目も挙動も異なります。ウェブアプリの脆弱性は、通常、 Common Weakness Enumerations (CWE) にカテゴリ分けされ、Common Vulnerabilities and Exposures (CVE)の区分に入りません。 従って、ウェブアプリのセキュリティ状態を理解するためには、特殊なスキャナーを使って検知、評価する必要があります。

• コンテナ セキュリティ　コンテナイメージのような現代のデジタル資産は、従来の方法では評価できません。しかし、コンテナ専用のセキュリティデバイスを使えば、コンテナイメージを保管して、イメージが生成される過程をスキャンして、脆弱性とマルウェアの検出ができます。また、継続的な監視とコンテナイメージの検証も可能です。

もちろん、セキュリティチームにとって、今日の大きな問題は、脆弱性の数です。とうてい手に追えない膨大な数の脆弱性が存在します。「大は小を兼ねる」アプローチは、ほとんどの企業にとっては人員や時間の制限によって実行不能です。その代わりに必要なのは、どの脆弱性が最重要システムに最大のリスクになるかを判断することです。そうすれば、修正作業を効果的に優先順位付けすることができます。

脆弱性の優先順位付けを効果的に実行するには、セキュリティデータを分析して、1 つひとつの脆弱性を関連したコンテキストで完全に理解することが必要です。ところが、分析するデータも膨大な量になり、しかも、手作業で分析されているケースが多いようですし、上述のセキュリティツールの 1 つひとつがさらに多くのデータを吐き出すので、問題は悪化するばかりです。以上の理由から、包括的な脆弱性管理プラットフォーム、すなわちすべての種類のセキュリティデータを取り込むことができ、自動化機能をつかって即座に分析できるプラットフォームが必要になるのです。 そのようなプラットフォームがあれば、必要なセキュリティインテリジェンスを素早く取り込めます。

ひとことで言えば、資産タイプに合った検知・評価ツールを選べば、ネットワーク全体の盲点が排除でき、アタックサーフェス全体が理解できるようになります。そして、さまざまなツールからインプットされる情報を処理できる脆弱性管理ツールを使えば、統合した視点から多種の資産を評価でき、脆弱性修正作業を正しく優先順位付けできます。

もっと詳しく

• どのようにしたら、どのセンサーや手法がタックサーフェス全体の検知と評価に適切か判断できるか。そして、どのようにしたら、拡大された可視化がもたらすデータの山を効果的に取り扱うことができるか。これらの点についてもっと詳しくは、ウェビナー: It May Be Time to Stop Freaking Out About Too Many Vulnerabilities (脆弱性が多すぎると騒ぐのはもうやめよう) をご視聴ください。
• 従来の脆弱性管理手法からリスクベースの脆弱性管理に移行する方法について。各手順に必要な推奨ツール、製品、パ―トナー統合に関する情報は、こちらのホワイトペーパーからご確認ください。基本構想: リスクベースの脆弱性管理
• アタックサーフェス全体を動的に評価して守るには、なぜ統合型の脆弱性管理プラットフォームが必要なのかについては、ホワイトペーパー: 断片的な脆弱性管理ツールがもたらす課題を克服するためにをご一読ください。