ネットワークスキャナー活用のベストプラクティス

ネットワークスキャンは、アタックサーフェスを保護するために不可欠なツールです。 攻撃者の侵入口となり得るデバイス、未対処の脆弱性、設定ミスの発見に役立ちます。 

スキャンを頻繁かつ徹底的に実行しないと、新たな脅威や不正なデバイス、エクスプロイトされる可能性のある古いソフトウェアを見逃してしまうリスクが生じます。

しかし、ネットワークスキャンは、誤った方法で実行すると、ネットワークダウンのような混乱を引き起こしたり、チームの時間を浪費する誤アラームを引き起こしたりする可能性もあります。 

ネットワークスキャンのベストプラクティスをいくつかご紹介します。

定期的なスキャンを設定し、新しいデバイスや脆弱性がネットワーク上に現れたらすぐに検出させます。 

継続的な監視によって、攻撃者が未知の、あるいは見過ごされる可能性のあるサイバーエクスポージャーを悪用する機会を妨げることができます。

夜間や週末など、ネットワークがあまり使用されない時間帯にスキャンが自動的に実行されるように設定し、機能の速度低下や業務の中断を避けます。

業務時間中にデータベースをスキャンすると、アプリの対応速度が極度に低下したり、ユーザーの仕事が捗らず、イライラさせたりするなどが考えられます。

スキャンの頻度は、資産の重大度、リスク許容度、コンプライアンス要件によって異なります。 

以下が基本線です。

• 外部やインターネットで公開されているシステム: 最も露出している時期なので、少なくとも毎週スキャンする
• 内部プロダクションサーバー: 認証スキャンを毎週または隔週に実施する
• エンドポイントとユーザーデバイス: 毎月、または定期的なパッチサイクルの一環としてスキャンする
• コンプライアンス: PCI DSS のための四半期ごとの外部スキャンなど、スケジュールに沿って行う

クラウドワークロードやコンテナのような非常に動的な環境では、なるべく継続的なスキャンを実行する。ネットワークスキャンツールは、ほぼリアルタイムで資産を監視し、新たな脆弱性の出現を即座に可視化することができます。

包括的なスキャン戦略は、アクティブスキャンとパッシブスキャンという 2 つの補完的な方法を用いて実現します。

アクティブスキャンは、デバイスにプローブを送信し、未対処のポート、サービス、脆弱性を特定します。 

深い洞察が得られる一方で、時には機密システムを混乱させることもあります。

例えば、積極的なスキャンは、旧式のプリンタ、VoIP 電話、壊れやすい OT 機器などをクラッシュさせたり、予期せぬ動作をさせたりすることがあります。

アクティブスキャンとパッシブスキャンを組み合わせることで、このような混乱を回避し、全体的な可視性を得ることができます。 パッシブスキャンは、ネットワークトラフィックを継続的にリッスンし、機器と直接やりとりすることなく資産や脆弱性を特定します。 

また、パッシブスキャンは、スケジュールされたアクティブスキャンでは見逃されがちな一時的なデバイス（ゲスト用ノートパソコンなど）やシャドー IT（未承認のソフトウェアやハードウェア）の検出に特に有効です。

この両方を使用することで、ネットワークの全体像をリアルタイムで把握できるため、重大な業務を妨げることなく、既知の脅威や新たな脅威を発見することができます。

ネットワークスキャナーは、認証なし（攻撃者のように外部から）と認証あり（認証スキャン）の 2 種類のスキャンを使用します。 

最も正確な結果を得るためには、認証スキャンが必要です。 有効な認証情報でシステムにログオンすることで、スキャナーはインストールされたソフトウェア、パッチのステータス、ローカルの構成設定に関する詳細な情報を収集することができます。

このように深く調べることで、パッチの欠落や危険なソフトウェア設定など、外からは見えない脆弱性を検出することができ、 また、システムを直接チェックすることで、誤った警告を減らすこともできます。

認証スキャンでは認証権限を管理する必要がありますが、安全な保管庫を使用することで、対象システムの読み取り専用または必要最小限の権限を持つサービスアカウントを安全に保管することができます。

生のスキャンレポートは複雑で量が圧倒されるほど多い場合があります。

実際のリスクに焦点を当てるには、深刻度だけでなく、脅威インテリジェンスやビジネスコンテクストを含む最新のデータ主導型アプローチを使用して修正に優先順位を付けることが必要になります。

まず、 共通脆弱性評価システム （CVSS）を使って、脆弱性の本質的な深刻度を理解します。 CVSS スコア（7.0-10.0）が高い場合は、潜在的に有害な欠陥があることを示し、深刻な問題として受け止める必要があります。

次に、 エクスプロイト予測スコアリングシステム （EPSS）を考慮します。 EPSS は、脅威アクターが今後 30 日間に脆弱性を悪用する可能性に関する確率スコア (0 ～ 100%) を提供するので、 誰も攻撃していない重大な脆弱性と、明白かつ差し迫った危険と、深刻であっても現在は誰にも攻撃されていない脆弱性を税j句さを区別できるようになります。

最後に、資産の重要性を考慮します。 インターネットで外部公開された重大な本番データベースに存在する CVSS スコアと EPSS スコアが高い脆弱性は、絶対に最優先事項となります。隔離したテストマシンで後で対処してください。

この優先順位付けの理論を実践するために、最新の脆弱性管理プラットフォームでは、ネットワークスキャンの結果を、AI 主導のより深い分析の基盤として使用します。 

例えば、Tenable のようなプラットフォームは、スキャナーの検出結果を取り込み、予測を適用します。 脆弱性優先度評価(VPR) は、発見された脆弱性のうち、悪意のある人物が最も悪用する可能性が高いものを特定します。 

そして、ビジネス上の重要な背景を追加するために、スキャンされた資産の ACR（資産重要度の格付け）を重ねます。

最先端のシステムでは、このデータを組み合わせて潜在的な攻撃経路をマッピングし、あるマシンで発見されたリスクの低いものが、他の場所では重大な資産を危険にさらす可能性があることを示すことさえできます。

このようにして、ネットワークスキャナーからの生の出力を、優先順位付けされた実行可能な計画に変換するのです。

脆弱性診断は、ネットワーク上に何があるのかを理解している場合にのみ有効です。 攻撃者はしばしば、監視の目をかいくぐる不正なデバイスや管理されていないデバイスを攻撃に悪用します。 正確で継続的に更新される資産のインベントリを維持することは、効果的なセキュリティにとって極めて重要なのです。

ネットワークスキャンツールを使って新しいデバイスを自動検出すれば、何が接続されているかを常に把握できます。 BYOD ポリシーのあるオフィスや、クラウドやハイブリッドネットワークのように、デバイスの追加、削除、移動が頻繁に行われる環境では特に重要です。

最新の資産インベントリは、コンプライアンス報告やインシデント対応をサポートし、脅威の追跡、コンテナ、修正を容易にします。

脆弱性スキャナーを SOAR や SIEM ソリューションに接続するなど、脆弱性ライフサイクル管理のための自動化されたクローズドループシステムを構築するために、ネットワーク・スキャンをより広範なセキュリティ運用に統合する必要があります。

これは強力なワークフローとなります。

例えば、スキャンが重要なサーバーに重大な脆弱性を発見した場合、SIEM にリアルタイムでアラートを出すことができます。 SIEM は SOAR プレイブックを開始し、Jira や ServiceNow のようなシステムで優先度の高いチケットを自動的に作成し、適切な IT 管理者に割り当て、チケットに必要な修正詳細を入力します。 

この自動化されたプロセスにより、脆弱性の発見から解決までをコンプライアンスに関する明確な指標とともに確実に追跡し、対応時間を大幅に短縮することができます。

画一的なスキャン方針は非効率であり、危険でもあります。 

さまざまなネットワークセグメント固有のリスク、テクノロジー、オペレーショナル要件に基づいてスキャンプロファイルをカスタマイズします。

リスクの低いセグメントに対しては、常に軽めで頻度の低いスキャンを行えばよいのですが、以下のような特殊な環境では特に注意を払うことが必要になります。

クラウド（AWS、Azure、GCP）: 従来のネットワークスキャナーには、クラウドに盲点がありました。それをネイティブツールで補完します。資産が常にスピンアップ、ダウンするような高度にダイナミックな環境では、定期的なネットワークベースのスキャンよりも、軽量のエージェントベースのスキャンの方が効果的な場合が多いのです。

OT/産業用制御システム（ICS）: 細心の注意が必要。 決して OT ネットワーク上で標準的な IT ネットワークスキャンを実行しないでください。 重大な産業プロセスを中断させるリスクなしに安全に資産を発見・特定するために、常にパッシブスキャンだけのアプローチから始めます。 アクティブスキャンが必要な場合は、OT 環境用に特別に設計され認定されたポリシーを使用します。

スキャンは膨大な量のデータを生成するので、正しい知識がなければ対応できず、圧倒されてしまいます。 セキュリティチームと IT チームがスキャンレポートを読んで脆弱性の深刻度を理解し、修正作業の優先順位を決定できるようにトレーニングします。

適切なトレーニングがあれば、担当者がリスクの低い問題を追って時間を浪費したり、スキャン結果を誤って解釈したりすることがなくなります。 さらに、セキュリティチーム、ネットワークチーム、運用チーム間の連携を促進し、コミュニケーションを改善し、脆弱性の修正を迅速化します。

継続的な教育とスキル開発により、担当部門は等チームは進化する脅威、新しいスキャン技術、ベストプラクティスを常に把握することができます。

最後に、可能な限り自動化を活用することが重要です。 スキャンスケジュール、結果分析、脆弱性追跡を自動化します。

重大な脆弱性、新たに発見された資産、異常なスキャン結果に対するアラートを設定すれば、新たな脅威に迅速に対応できる体制が整います。自動化によって検出と修正がスピードアップし、人的エラーや運用上の負荷が削減されます。

最新のスキャンおよび脆弱性管理プラットフォームの多くは、既存のセキュリティツールとシームレスに統合する自動化機能を内蔵しています。

これらのネットワークスキャナーのベストプラクティスに従うことで、可視性を向上させ、誤検知を減らし、真のリスクに焦点を当て、業務を中断することなくネットワークを安全に保つことができます 。 これらの戦略により、ネットワークの進化に適応するプロアクティブなセキュリティの強固な基盤が構築されます。

さあ、ネットワークスキャンと脆弱性管理を強化しましょう! Tenable Vulnerability Managementが、スキャンの自動化、リスクの優先順位付け、修正の迅速化にどのように役立つかをご覧ください。