ネットワークスキャナー活用のベストプラクティス

ネットワークスキャンは、アタックサーフェスを確保するために不可欠なツールである。 攻撃者の侵入口となり得るデバイス、未対処の脆弱性、設定ミスを発見するのに役立ちます。 

頻繁かつ徹底的なスキャンを行わないと、新たな脅威や不正なデバイス、エクスプロイトされる可能性のある古いソフトウェアを見逃してしまうリスクがあります。

しかし、ネットワーク・スキャンを誤ると、ネットワーク・ダウンのような混乱を引き起こしたり、チームの時間を浪費する誤報を引き起こしたりする可能性がある。 

ネットワーク・スキャンのベスト・プラクティスをいくつか紹介しよう：

定期的なスキャンを設定し、新しいデバイスや脆弱性がネットワーク上に現れたらすぐに検出する。 

継続的モニタリングは、攻撃者が未知の、あるいは見過ごされる可能性のあるサイバーエクスポージャーをエクスプロイトするのを阻止する。

夜間や週末など、ネットワークがあまり使用されない時間帯にスキャンが自動的に実行されるように設定し、速度低下や業務の中断を回避しましょう。 

場合によっては、業務時間中に多忙なデータベースをスキャンすることで、アプリがクロールしたり、ユーザーがイライラしたりする可能性がある。

スキャンの頻度は、資産の重大度、リスク許容度、コンプライアンス要件によって異なる。 

ベースラインとして：

• 外部、インターネットに面したシステム： 最も露出している時期なので、少なくとも毎週スキャンする。
• 内部プロダクションサーバー： 認証スキャンを毎週または隔週に実施する。
• エンドポイントとユーザーデバイス： 毎月、または定期的なパッチサイクルの一環としてスキャンする。
• コンプライアンス： PCI DSSのための四半期ごとの外部スキャンなど、必要なスケジュールに従う。

クラウドワークロードやコンテナのような非常に動的な環境では、継続的なスキャンに移行する。 ネットワーク・スキャン・ツールは、ほぼリアルタイムで資産を監視し、新たな脆弱性の出現を即座に可視化することができます。

包括的なスキャン戦略は、アクティブスキャンとパッシブスキャンという2つの補完的な方法を用いる。

アクティブスキャンは、デバイスにプローブを送信し、未対処のポート、サービス、脆弱性を特定します。 

深い洞察が得られる一方で、時には機密システムを混乱させることもある。 

例えば、積極的なスキャンは、レガシーなプリンター、VoIP電話、壊れやすいOT機器などをクラッシュさせたり、予期せぬ動作をさせたりすることがある。

アクティブスキャンとパッシブスキャンを組み合わせることで、このような混乱を回避し、全体的な可視性を得ることができます。 この方法は、ネットワーク・トラフィックを継続的にリッスンし、機器と直接やりとりすることなく資産や脆弱性を特定する。 

パッシブスキャンは、スケジュールされたアクティブスキャンでは見逃されがちな一時的なデバイス（ゲスト用ノートパソコンなど）やシャドーIT（未承認のソフトウェアやハードウェア）の検出に特に有効です。

この両方を使用することで、ネットワークの全体像をリアルタイムで把握できるため、重大な業務を妨げることなく、既知の脅威や新たな脅威を発見することができます。

ネットワーク・スキャナーは、認証なし（攻撃者のように外部から）と認証あり（認証スキャン）の2種類のスキャンを使用する。 

最も正確な結果を得るためには、認証スキャンが必要です。 有効な認証情報でシステムにログオンすることで、スキャナーはインストールされたソフトウェア、パッチのステータス、ローカルの構成設定に関する詳細な情報を収集することができる。

このように深く調べることで、パッチの欠落や危険なソフトウェア設定など、外からは見えない脆弱性を検出することができる。 また、システムを直接チェックすることで、誤った警告を減らすこともできる。

認証スキャンでは認証権限を管理する必要がありますが、安全な保管庫を使用することで、対象システムの読み取り専用または必要最小限の権限を持つサービスアカウントを安全に保管することができます。

生のスキャンレポートには圧倒される。 

実際のリスクに焦点を当てるには、深刻度だけでなく、脅威インテリジェンスやビジネスコンテクストを含む最新のデータ主導型アプローチを使用して修正に優先順位を付けます。

まず、 共通脆弱性評価システム （CVSS）を使って、脆弱性の本質的な深刻度を理解する。 CVSSスコア（7.0-10.0）が高い場合は、潜在的に有害な欠陥があることを示し、深刻に受け止める必要があります。

Next, layer on the Exploit Prediction Scoring System (EPSS). EPSS gives you a probability score (0-100%) about a threat actor's likelihood of exploiting a vulnerability in the wild in the next 30 days. This helps you distinguish between a severe vulnerability that no one is attacking and a clear and present danger.

最後に、資産の重要性を考慮する。 インターネットに面した重大な本番データベースに存在するCVSSスコアとEPSSスコアが高い脆弱性は、絶対的な最優先事項です。 同じ脆弱性については、後で隔離したテストマシンで対処すればよい。

この優先順位付けの理論を実践するために、最新の脆弱性管理プラットフォームでは、ネットワークスキャンの結果をより深いAI主導の分析の基盤として使用します。 

For example, a platform like Tenable ingests your scanner's findings and applies its predictive Vulnerability Priority Rating (VPR) to identify which discovered vulnerabilities bad actors are most likely to exploit. 

そして、ビジネス上の重要な背景を追加するために、ACR（資産重要度の格付け）を重ねる。

スキャン資産。 

最先端のシステムでは、このデータを組み合わせて潜在的な攻撃経路をマッピングし、あるマシンで発見されたリスクの低いものが、他の場所で重大な資産を危険にさらす可能性があることを示すことさえできる。

このアプローチは、ネットワークスキャナーからの生の出力を、優先順位付けされた実行可能な計画に変換します。

脆弱性診断は、ネットワーク上に何があるのかを理解している場合にのみ有効です。 攻撃者はしばしば、レーダーをかいくぐる不正なデバイスや管理されていないデバイスをエクスプロイトします。 正確で継続的に更新される資産目録を維持することは、効果的なセキュリティにとって極めて重要である。

ネットワーク・スキャン・ツールを使って新しいデバイスを自動検出すれば、何が接続されているかを常に把握できます。 これは、BYODポリシーのあるオフィスや、クラウドやハイブリッド・ネットワークのように、デバイスの追加、削除、移動が頻繁に行われる環境では特に重要である。

最新の資産インベントリーは、コンプライアンス報告やインシデント対応をサポートし、脅威の追跡、コンテナ、修正を容易にします。

脆弱性スキャナーをSOARやSIEMソリューションに接続するなど、脆弱性ライフサイクル管理のための自動化されたクローズド・ループ・システムを構築するために、ネットワーク・スキャンをより広範なセキュリティ運用に統合する必要があります。

これは強力なワークフローを生み出す。 

例えば、スキャンが重要なサーバーに重大な脆弱性を発見した場合、SIEMにリアルタイムでアラートを出すことができる。 SIEMはSOARプレイブックを開始し、JiraやServiceNowのようなシステムで優先度の高いチケットを自動的に開き、適切なIT管理者に割り当て、チケットに必要な修正詳細を入力します。 

この自動化されたプロセスにより、脆弱性の発見から解決までをコンプライアンスに関する明確な指標とともに確実に追跡し、対応時間を大幅に短縮することができます。

画一的なスキャン方針は非効率であり、危険でもある。 

さまざまなネットワークセグメント固有のリスク、テクノロジー、オペレーショナル要件に基づいてスキャンプロファイルをカスタマイズします。

リスクの低いセグメントに対しては、常に軽めで頻度の低いスキャンを行うべきだが、こうした特殊な環境には特に注意を払うこと：

クラウド（AWS、Azure、GCP）： 従来のネットワークスキャナーには、クラウドに盲点があった。 ネイティブ・ツールで戦略を強化する。 資産が常にスピンアップ、ダウンするような高度にダイナミックな環境では、定期的なネットワークベースのスキャンよりも、軽量のエージェントベースのスキャンの方が効果的な場合が多い。

OT/産業用制御システム（ICS）： こうした環境では細心の注意が必要だ。 決してOTネットワーク上で標準的なITネットワークスキャンを実行しないでください。 重大な産業プロセスを中断させるリスクなしに安全に資産を発見・特定するために、常にパッシブスキャンだけのアプローチから始めます。 アクティブ・スキャンが必要な場合は、OT環境用に特別に設計され認定されたポリシーを使用する。

スキャンは膨大な量のデータを生成するが、正しい知識がなければ圧倒されてしまう。 セキュリティチームとITチームがスキャンレポートを読み、脆弱性の深刻度を理解し、修正作業の優先順位を決定できるようにトレーニングする。

適切なトレーニングにより、チームはリスクの低い問題を追って時間を浪費したり、スキャン結果を誤って解釈したりすることがなくなる。 セキュリティチーム、ネットワークチーム、運用チーム間の連携を促進し、コミュニケーションを改善し、脆弱性の修正を迅速化する。

また、継続的な教育とスキル開発により、チームは進化する脅威、新しいスキャン技術、ベストプラクティスを常に把握することができます。

最後に、可能な限り自動化を活用すること。 スキャンスケジュール、結果分析、脆弱性追跡を自動化します。

重大な脆弱性、新たに発見された資産、異常なスキャン結果に対するアラートを設定することで、チームは新たな脅威に迅速に対応することができます。 自動化によって検出と修正がスピードアップし、人的エラーと運用上のオーバーヘッドが削減されます。

最新のスキャンおよび脆弱性管理プラットフォームの多くは、既存のセキュリティツールとシームレスに統合する自動化機能を内蔵しています。

これらのネットワークスキャナーのベストプラクティスに従うことで、可視性を向上させ、誤検知を減らし、真のリスクに焦点を当て、業務を中断することなくネットワークを安全に保つことができます 。 これらの戦略により、ネットワークの進化に適応するプロアクティブなセキュリティの強固な基盤が構築されます。

ネットワークスキャンと脆弱性管理を強化したいですか？ Tenable Vulnerability Managementが、スキャンの自動化、リスクの優先順位付け、修正の迅速化にどのように役立つかをご覧ください。