ネットワークスキャンとは?

ネットワークスキャナーは、ネットワークに接続されているすべてのデバイス、アプリケーション、サービスを検出します。 ネットワークスキャナーがなければ、何を保護しているのかを明確に把握できません。

ネットワークをスキャンするとき、スキャナーはプローブと呼ばれる信号をデバイスに送信して応答を待ちます。 

そのデータから、スキャナーは次のようなことを特定します。

• アクティブなデバイス
• 稼働中のオペレーティングシステムとサービス
• 開いているポートと閉じているポート
• インストールされているソフトウェアのバージョン

攻撃者より先にサイバー空間に露呈されたリスクを特定するのに役立つ情報です。サーバーが古いソフトウェアを実行しているかどうかや、ポートが開いている不要なサービスが存在するかどうかなどが把握できます。

ネットワークは絶えず変化しています。 新しいデバイスが接続され、クラウドワークロードが起動し、ユーザーは誰にも知らせずにシャドー IT を追加しています。 

アタックサーフェスを積極的にスキャンしなければ、盲点が攻撃者にさらされることになります。

ネットワークスキャンが必要な理由は、次のとおりです。

• スキャンによって、個人のノートパソコン、不正な無線アクセスポイント、忘れられたサーバーなどの管理されていないデバイスが明らかになります。
• 攻撃者は多くの場合、オープンポートをスキャンして、簡単に侵入できるポイントを発見しますが、 そうした侵入口を最初に閉じることができます。
• スキャンを実行すれば、重要なパッチが適用されていないかどうかやセキュリティ設定が脆弱かどうかがわかります。
• 定期的な内部および外部の脆弱性スキャンを義務付けている PCI DSS や、電子患者健康情報を保護するための継続的なリスク分析を義務付けている HIPAA のようなコンプライアンス要件に対応しています。
• 明確なネットワークマップにより、利用されていないサービスを削除してネットワークをセグメント化し、重要な資産を強化できます。

定期的にスキャンを実行しなければ、ネットワークセキュリティは運任せになってしまいます。

ネットワークスキャンを開始すると、スキャナーはあてずっぽうにパケットを精査するのではなく、 体系的なアプローチを使用してデバイスを発見します。 

ネットワークの脆弱性をスキャンする方法は次のとおりです。

• 検出: スキャナーは、どの IP アドレスが応答するのかをチェックします。 ping スイープ、ARP リクエスト、DNS ルックアップなどの手法を使用して、稼働しているホストを発見します。
• OS フィンガープリンティング: 応答を分析し、オペレーティングシステム、実行中のサービス、ソフトウェアのバージョンなどの詳細を特定します。
• デバイス列挙: オープンポートをさらに深く掘り下げ、HTTP、SSH、SMB のようなサービスをプローブして設定の情報を収集します。
• レポーティング: 結果をデバイス、サービス、潜在的な脆弱性が詳述されたネットワークインベントリマップにまとめます。

アクティブネットワークスキャンとパッシブネットワークスキャンの違い

アクティブスキャンは、信号を送信してどのデバイスが応答するのかを確認します。ネットワークで余分なトラフィックが発生するのが欠点であるため、スキャンの計画を立て、場合によっては勤務時間外に実行する必要があります。

パッシブスキャンは、ネットワーク上ですでに発生しているトラフィックのみをリッスンされます。 

したがって、中断のリスクを冒すことができない、工場の設備や病院のネットワークのような機密性の高いシステムを扱う場合に非常に効果的です。 問題点は、稼働していないデバイスが見過ごされる可能性があるということです。

最大限の可視性を得るには、両方のアプローチを組み合わせます。

すべてのスキャンが同じ目的を果たすわけではありません。 全体像を把握するために、さまざまなスキャンタイプを併用することも多くあります。

ホスト検出スキャン

このスキャンにより、 「このネットワークで何が稼働しているのか」という単純な疑問が解消されます。 ping スイープや ARP リクエストを使用して、存在が把握されていなかったものも含めてデバイスを発見します。

ポートスキャン

ホストが稼働していることがわかったら、そのポートをスキャンします。 ポートが開いていればサービスによるリッスンが実行されていることになります。 ポート 80 のウェブサーバーや 3306 のデータベースなどが考えられます。ポートスキャンは、不要なサービスや安全でないサービスを見つけるのに役立ちます。 攻撃者はこの手法を偵察に使用しますが、 ユーザーも同じように利用すべきです。

脆弱性スキャン

脆弱性スキャンはポートより深いところまで入り込み、 不足しているパッチ、古いソフトウェア、脆弱な設定、既知の CVE を探します。 ユーザーは次のようなスキャンを実行できます。

• 認証スキャン: 認証情報を使用してログインし、ソフトウェアのバージョンとセキュリティ設定を完全に表示します。
• 非認証スキャン: 攻撃者のように外部からスキャンを行い、エクスポージャーを発見します。

どのスキャンでも、ネットワークに関するさらに詳細な情報を得ることができます。

ネットワークスキャンツールには、シンプルな検出ユーティリティから包括的な脆弱性管理ツールまで、さまざまなものがあります。 これらの選択肢を把握すれば、セキュリティのニーズに合ったものを選択できます。

• 基本的な検出ツールは、ネットワーク上で稼働しているデバイス、オープンポート、ホスト、サービスをすばやく見つけるのに役立ちます。 これは、そうした最初の概観を掴むのには最適ですが、実際の脆弱性を深く掘り下げるものではありません。
• オープンソースの脆弱性スキャナーは、既知のセキュリティの問題や設定の問題について確認するものであり、 追加費用をかけずに機能を手に入れることができます。
• エンタープライズグレードのスキャナーは、信頼性の高い脆弱性検出、継続的なモニタリング、スムーズな統合オプションで包括的なカバレッジを提供します。 これらのスキャナーは、最初に取り組むべきリスクを見つけ出すのに役立ち、既存のセキュリティセットアップともうまく連携します。
• クラウドベースのスキャンプラットフォームは、動的で広範な環境に対応できる柔軟なソリューションであり、 大規模なインフラや、さまざまなものが入り混じったインフラを管理している場合に最適です。

オンプレミスとクラウド両方のシステムにわたる、継続的で正確な脆弱性評価が必要な場合は、現在使用しているサイバーセキュリティツールやリスク管理のアプローチと統合されるスキャナーを選択します。

環境とともに成長する、堅牢な統合ネットワークスキャンツールを導入したいとお考えの場合は、 Tenable Vulnerability Management がどのように、サイバー脅威の一歩先を行き続けるための、包括的な可視性と脆弱性に関する実用的なインサイトを提供するのかをご覧ください。

サイバー空間に露呈されたリスクを見つけて広大なアタックサーフェスを保護するには、ネットワークスキャンと脆弱性診断の違いを理解することが重要です。 

ネットワークスキャンは、詳細な出欠確認のような役割を果たし、 不正な資産や管理対象外の資産を含む、ネットワーク上のあらゆるデバイス、サービス、オープンポートを検出します。 

脆弱性診断は、その後でそれらのデバイスを検査し、不足しているパッチ、古いソフトウェア、設定ミス、既知のセキュリティの不備を特定します。

これらのスキャンを併用することにより、次のようなメリットがもたらされます。

• ネットワーク上のすべての資産の包括的な最新のインベントリ
• 固有の環境に基づいて、どのエクスポージャーが最大のリスクをもたらすのかを把握できる、脆弱性に関するインサイト
• 攻撃者に悪用される前に脅威を検出して優先順位付けする能力

ネットワークスキャンによって、脆弱性スキャンの基盤が提供されるため、デバイスやサービスを見落とすことがなくなります。 さらに、非認証スキャン (外部からの可視化) と認証スキャン (システム内部へのアクセス) を組み合わせることにより、セキュリティの状況をより完全かつ正確に把握できます。

両方のスキャン方式を最大限に活用するには、次のようなベストプラクティスに従ってください。

• インベントリを使用して脆弱性スキャンを実行し、攻撃者の標的になる可能性があるものすべてをカバーできるようにします。
• リスクベースの優先順位付けを使用して、最も重大な問題を集中的に修正します。
• 自動化されたスキャンとアラートを設定し、手作業なしで継続的なカバレッジを維持します。
• さまざまなデバイスの種類やネットワーク領域に合わせてスキャンポリシーを調整します。
• スキャン結果を既存のセキュリティツールと関連付けて、インシデント対応を迅速化します。
• スキャンデータの読み方や共同で修正を行う方法に関して、チームをトレーニングします。
• ネットワークや脅威の状況の変化に応じて、スキャンのアプローチを絶えず更新します。

ネットワークスキャンと脆弱性診断を戦略的に組み合わせることにより、完全な可視性と実用的なインテリジェンスがもたらされ、セキュリティチームはリスクを軽減して防御を強化できるようになります。

ネットワークスキャンと脆弱性診断の違いの詳細に関するリンクをご確認ください。

ネットワークとは、もはや単なるオンプレミスサーバーの集まりではなく、 ハイブリッドクラウドワークロードやリモートエンドポイントであり、オペレーショナルテクノロジー (OT) でもあります。 

ネットワークスキャンは、リアルタイムのインベントリを提供して、これらすべてを結び付けます。

また、ゼロトラスト戦略の一部でもあり、 ネットワーク上に何があり、それがどのように動作するのかを継続的に検証することで、攻撃の影響範囲を限定できます。

具体的には、スキャンを実行することにより、「決して信頼せず、常に検証する」モデルの前提条件となる、包括的かつ継続的な資産の可視性がもたらされます。

スキャンを実行すると、エクスポージャー管理における長期的なエクスポージャーの測定と軽減に必要なデータが提供されます。 最新のプラットフォームでは、開発から本稼働までのすべてを保護できるよう、ネットワークスキャンとコンテナのセキュリティ、インフラのコード化スキャン、CI/CD 統合までもが組み合わせられます。

たとえば、Tenable Research は、これまでに 25 万 7,000 超のプラグインを公開し、10 万 1,731 件を超える CVE ID をカバーしています。

ネットワークスキャンは脆弱性管理において重要な役割を果たし、 リスクが存在する場所を特定するための基盤となっています。 

脆弱性管理では、ネットワーク上のすべてのデバイス、アプリケーション、サービスに関する、最新の正確な情報を利用します。 そのため、ネットワークスキャンでは、シンプルな検出やポートの確認にとどまらず、深く掘り下げた検査や詳細な脆弱性検出を行う必要があります。

ネットワークスキャナーは、アクティブスキャンと認証スキャンを使用して脆弱性管理を行います。 アクティブスキャンでは、デバイスを直接プローブしてオープンポートや実行中のサービスを検出します。 認証スキャンでは、システムにログインしてソフトウェアのバージョン、設定、パッチレベルを分析します。 このようなアプローチにより、外部スキャンだけでは見逃してしまうような隠れた脆弱性が明らかになります。

脆弱性管理は、その後でこれらのスキャン結果にリスクスコアを組み合わせて、修正の優先順位付けを支援します。 

ユーザーは、すべてのアラートを追跡するのではなく、ビジネスを危険にさらす脆弱性に焦点を当てます。

スキャンデータと脆弱性インテリジェンスを組み合わせると、新たな脅威をより迅速に検出できます。

ネットワークスキャンから脆弱性管理へとデータが提供されることで、サイバー空間に露呈されたリスクを見つけてその変化を追うための生のデータを得ることができます。 

スキャンを実行しなければ、サイバーリスクを軽減するための可視性も文脈も得られません。

エクスポージャー管理は、個々の弱点とアタックサーフェス全体に焦点を当てることによって、脆弱性管理をさらに発展させます。 

ネットワークスキャンは、デジタルフットプリントを定義する資産と接続のリアルタイムのインベントリを提供するため、エクスポージャー管理において不可欠です。

包括的なエクスポージャー管理には、オンプレミスのデバイス、クラウドワークロード、仮想マシン、OT、一時的な資産、モバイル資産を検出する、継続的なネットワークスキャンが必要です。 このような全面的な可視化により、見過ごされることが多いシャドー IT や管理対象外のデバイスが明らかになります。

エクスポージャー管理は、検出を行うだけでなく、スキャンデータをリスクスコアや脅威インテリジェンスと統合することにより、攻撃者が標的型攻撃の経路として使用する可能性がある脆弱な部分を浮き彫りにします。 これは、システム全体で脆弱性がどのように関連し、攻撃者がどこでラテラルムーブメントを行う可能性があるのかを把握するのに役立ちます。

エクスポージャー管理は、アタックサーフェスを継続的に監視して評価し、全体的なリスクを軽減する修正アクションの優先順位付けを支援し、環境全体にわたる継続的な資産検出と脆弱性監視の証拠を提供してコンプライアンスをサポートします。

そのため、ネットワークスキャンはエクスポージャー管理の耳目となって、 リアルタイムのインサイトを提供し、リスクベースの意思決定を促進して、進化を続ける脅威状況にセキュリティ態勢を整合させます。

ネットワークスキャンは、攻撃者がデバイスやオープンポートや脆弱性に手を出す前に発見するのに役立ちます。

ネットワークスキャンの堅実なプラクティスとしては、次のようなものが挙げられます。

• ネットワークが混雑していないときにスキャンをスケジュールする
• アクティブスキャンとパッシブスキャンを組み合わせてすべてを検出する
• 認証スキャンを実行して、システムとパッチの全体像を把握する

実際のリスクに基づいて脆弱性を優先順位付けし、資産インベントリを最新の状態に保てば、全体像からは程遠いランダムな脆弱性スコアを追跡する代わりに、重要事項に集中できるようになります。

スキャンをより広範なサイバーセキュリティプログラムと統合するとともに、さまざまな環境に合わせてスキャンポリシーをカスタマイズし、担当者がスキャンデータを解釈できるようにトレーニングを実行すれば、効果を最大限まで高めることができます。 

自動化とアラートにより、手作業が減ると同時に、検出と修正が迅速化されます。 

ベストプラクティスについて詳しくお知りになりたい場合は、 ネットワークスキャナーのベストプラクティスページで詳細をご覧ください。

ネットワークスキャンツールを検討する際は、次のような高度な機能を備えたツールをお探しください。

1. 不足しているパッチ、古いソフトウェア、設定の問題を見つけるための脆弱性検出
2. ログイン認証情報を使用してシステムを深く掘り下げる認証スキャン
3. 最も重要な問題に焦点を絞り、ステークホルダーに実際の影響を示せるようにする、リスクベースの優先順位付けとカスタマイズ可能なレポート

また、下記の点にもお気をつけください。

• ツールが、以下の点で組織に合わせて拡大可能であることを確認してください。
• 遅延を生じさせることなく、より大規模なネットワークに対応するためのスケーラビリティ
• 遵守が必要なすべての規制に対するコンプライアンスのサポート
• 現在使用しているセキュリティツールとの統合が簡単で、連携が可能であること

ネットワークスキャンツールの選び方に関する当社のクラスタページに詳しく記載されている、各組織のニーズに最適なネットワークツールの選択に関する包括的なガイドをご覧ください。

基本的なネットワークスキャナーは検出のみにとどまり、 ネットワーク上に何があるのかは教えてくれますが、リスクの把握や修正すべき問題の優先順位付けの助けにはなりません。 

Tenable はそのさらに先へと進んでいます。

Tenable では、次のことが実現できます。

• オンプレミス、クラウド、OT、さらには一時的な BYOD デバイスといったあらゆる資産を検出します。
• 認証ネットワークスキャンを実行し、ソフトウェアバージョン、設定ミス、不足しているパッチに関するより詳細なインサイトを取得します。
• トラフィックのパッシブモニタリングを行い、医療機器や産業用制御システム (ICS) のような機密性の高いシステムを中断させることなく、脆弱性や盲点を特定します。
• プラグインを継続的に更新して脅威をリアルタイムで検出し、新たな CVE が発生すると瞬時に特定します。
• アラートに溺れることなく、最も重要な問題を修正できるよう、Tenable のリスクスコアリングを使用して修正を優先順位付けします。
• 組み込みのテンプレートを使用してコンプライアンスを維持し、報告を容易にします。

また Tenable は、パッシブスキャンをより広範な脆弱性管理に統合し、アタックサーフェス全体を一元的に把握できるようにします。

Tenable によって、何が接続されているのかだけでなく、 攻撃者がどの脆弱性を最初に標的にするのかを知ることができるため、それらが問題に発展する前に修正できます。

Tenable Vulnerability Management がどのように隠れたネットワークのリスクを明らかにするのかをご覧ください。

ネットワークスキャンについて最もよく尋ねられる質問と、事例やハッキングなどの重要な情報を含む回答を以下にまとめましたのでご覧ください。

ネットワークスキャナーにはどのようなものがありますか?

検出と脆弱性評価に広く用いられているネットワークスキャナーの一例として、Tenable Nessus が挙げられます。

ハッカーはネットワークスキャンを使用できますか?

はい。攻撃者は、同様のスキャン手法を使用してネットワークをマッピングし、弱点を見つけます。 そのため、攻撃者より先にスキャンを行う必要があります。

ネットワークスキャンはパフォーマンスに影響しますか?

アクティブスキャンは、短時間のネットワークノイズを引き起こす可能性があります。 パッシブスキャンは、トラフィックをリッスンするだけのため影響はありません。

ネットワークスキャンはどのくらいの頻度で実行するのが適切ですか?

継続的にネットワークをスキャンするのが理想的です。 新たなデバイスや脆弱性を検出するためには、少なくとも週に 1 回はスキャンを実行すべきですが、コンプライアンス要件を満たす、十分な頻度で実行することが重要です。

ネットワークスキャンとネットワークモニタリングの違いは何ですか?

スキャンでは、デバイスを積極的にプローブして脆弱性を見つけます。 モニタリングでは、トラフィックを受動的に観測し、長期的に問題を検出します。

ネットワークスキャンはハイブリッドクラウド環境でどのように機能しますか?

ハイブリッドクラウドでは、スキャナーはアクティブプローブ、パッシブモニタリング、クラウド API 統合を組み合わせて、オンプレミス資産、クラウド資産、仮想資産を検出します。 これにより、コンテナや仮想マシンのような一時的なリソースも完全に可視化されます。

アタックサーフェス全体をより明確に把握するには、すべての資産、すべてのオープンポート、すべての脆弱性を可視化するネットワークスキャンをまず実行します。Tenable Vulnerability Management が現在のネットワークのリスクの検出と軽減にどのように役立つのかをご覧ください。