ネットワークスキャンツールの選び方

ネットワーク・スキャン・ツールを選択する際に最も重大な検討事項の1つは、ネットワーク上のすべての資産を検出できるかどうかです。 

これは従来のオンプレミスデバイスにとどまらず、仮想マシン、クラウドワークロード、モバイルデバイス、そしてアプリケーションによっては産業制御システム（ICS）やIoTデバイスのようなオペレーショナルテクノロジー（OT）を含みます。

この点が問題となるのはなぜでしょうか。

攻撃者はしばしば、目につきにくい資産や管理されていない資産の脆弱性を悪用して、侵入の足がかりを得ます。一般的なデバイスしか検出できないスキャナーでは、大きな盲点が残り、環境がリスクにさらされる可能性があります。 

インフラが複数の環境にまたがっている場合は、アタックサーフェス全体を統合的に可視化できるツールを選択します。

例えば、動的なワークロードやコンテナを検出するためにクラウドAPIをサポートするネットワークスキャナーもあれば、産業環境のスキャンに特化したスキャナーもあります。 

資産状況を事前に把握することで、ニーズに合わせた資産カバレッジのスキャナーを選択することができます。

オンプレミス、クラウド、OT環境を統合的に可視化したいですか？ 統合スキャンソリューションがサイバーエクスポージャーをどのように削減できるかをご覧ください。

スキャン技術によって目的は異なります。 アクティブスキャンとパッシブスキャンをサポートする堅牢なツールを探す必要があります。

アクティブスキャンは、プローブを送信して開いているポートやサービス、脆弱性を検出します。高い効果がある一方で、繊細なシステムに影響を与えたり、侵入検知システムのアラートを引き起こしたりする可能性があります。

パッシブスキャンは、ネットワークトラフィックを継続的に監視し、デバイスや異常な通信を検出します。 これは、病院や製造業のネットワークのように、アクティブスキャンが問題を引き起こす可能性のある場所では重要です。

エージェントベースのスキャンでは、軽量なソフトウェアエージェントをラップトップ、サーバー、クラウドインスタンスなどのエンドポイントに直接インストールします。 これらのエージェントは、ネットワーク全体のプローブや認証情報を使用せずに、詳細で正確なデータを得るために、脆弱性や設定の問題をホストから直接レポートします。 

この方法は、遠隔地の従業員や一時的なクラウド資産、ネットワークから頻繁に切り離されるデバイスをカバーするのに理想的です。

両方の方法を組み合わせたスキャナーを選択することで、ネットワークを完全かつ正確に把握することができるため、一時的なデバイスや不正な接続を発見することができます。 

また、パッシブスキャンは継続的なカバレッジを提供するため、リアルタイムの変化を先取りすることができます。

多くのスキャナーは単にデバイスと未対処のポートを特定するだけですが、優れたツールは特定の脆弱性を特定することで、さらにその上を行きます。 これには、パッチが適用されていない、ソフトウェアのバージョンが古い、または脆弱性がある、設定ミス、既知のエクスプロイト経路などが含まれます。

NVD（National Vulnerability Database）、CVE（Common Vulnerabilities and Exposures）システム、その他の脅威インテリジェンス・フィードなど、定期的に更新される脆弱性データベースをスキャナーに統合し、常に最新の脅威を検知し、誤検知の多発を減らすことができるスキャナーを探してください。

例えば、いくつかの高度なツールは、脆弱性とエクスプロイトの利用可能性を関連付けることができるため、修正に優先順位をつけるためのより多くのコンテキストを得ることができます。

認証スキャンは脆弱性検出精度を大幅に向上させます。 この種のスキャンでは、スキャナーでシステムにログインし、インストールされているソフトウェア、パッチ・レベル、セキュリティ設定などの内部情報を調べることができます。

このような深い可視性により、外部スキャンでは見落とされるような、ローカル権限の弱さ、セキュリティパッチの欠落、未承認ソフトウェアなどの問題が発見されることがよくあります。 

しかし認証スキャンでは、それらの認証情報を管理し保護する責任があります。 

パスワード保管庫や認証情報マネージャーと統合して、機密データをリスクにさらすことなく、アクセス情報を安全に保管し、ローテーションできるツールを選びましょう。

認証スキャンは、他のシステム所有者やコンプライアンスポリシーとの調整も必要かもしれないが、その利点と誤検知の減少により、投資に値するものとなっています。

強力なネットワーク・スキャン・ツールは、正確なリスク・ベースの優先順位付けを行うことで、単なるデータの提示にとどまらず、実用的な洞察を得ることができます。

長年、セキュリティチームはCVSS（共通脆弱性評価システム）だけに頼っていました。CVSS では、多くの脆弱性が「高」または「重大」と評価されがちです。

最新のツールは、このような静的なスコアリングを越えて、実際に悪用されている可能性 (つまり、この欠陥を使用した既知のマルウェアが存在するか)、深刻度、影響を受ける資産のビジネス上の重大度、インターネットへの露出度など、より豊かなコンテキストに基づいて脆弱性を評価します。 

このような多面的なアプローチにより、お客様のチームは、組織にとって真に差し迫った脅威となる脆弱性の一部に修正を集中させることができます。

カスタマイズ可能なダッシュボードやレポート機能を備えたスキャナーを探しましょう。 

明確で簡潔なレポートにより、技術チームから幹部まで、ステークホルダーとのコミュニケーションが円滑になり、セキュリティ態勢の実証や投資の正当性の主張が容易になります。

リスクの高い脆弱性や新たな資産検出に対する自動アラートにより、対応時間を短縮し、継続的なセキュリティをサポートします。

深刻度の高いアラートが多く、対応に困っていませんか?リスクベースで優先順位付けできる脆弱性管理ツールを使えば、重要度の高いリスクに集中できます。

ネットワークスキャンツールは、環境が拡大しても複雑にならず、柔軟に対応できる必要があります。パフォーマンスのボトルネックを発生させることなく、拡大する環境に対応できるよう、ツールをスムーズに拡張できるようにします。 

異なるネットワークセグメントやクラウド環境にデプロイ可能な分散型スキャンエンジン、リソースを動的に割り当てるクラウドネイティブアーキテクチャ、効率的なデータ処理機能などの機能に注目してください。 これらの機能により、クラウドインフラの進化に合わせて、新しいサイトやクラウドアカウント、デバイスの種類を追加することができます。

ビジネスニーズやリスク許容度に基づいてスキャン強度や頻度を調整できるよう、定期的なスキャンだけでなく継続的なスキャンにも対応しているかどうかを検討します。

また、スケーラビリティのあるツールは、インフラストラクチャの進化に合わせて、新しいサイト、クラウドアカウント、またはデバイスタイプのオンボーディングを容易にします。

多くの組織は、PCI DSS、HIPAA、SOX、NISTといった厳しい規制の枠組みの下で運営されています。 

コンプライアンステンプレート、自動レポート、監査対応文書が組み込まれたネットワークスキャンツールを監査することで、これらの要件を満たすことが容易になります。 

これらのツールは、継続的改善ライフサイクル（Plan-Do-Check-Act）のチェックとアクションの段階の基本であり、多くの規制の中心となっています。

使いやすさと統合性の評価

最後に、ツールのデプロイメント、コンフィギュレーション、メンテナンスがいかに簡単であるかを考慮します。 ユーザーフレンドリーなインターフェースは、脆弱性の見逃しにリードする可能性のある設定ミスを減少させます。

脆弱性管理プラットフォーム、チケッティングシステム、セキュリティ情報イベント管理（SIEM）システム、オーケストレーションツールなど、既存のセキュリティスタックとシステムインテグレータを統合することで、ワークフローを自動化し、インシデント対応を迅速化できます。

例えば、SOARプラットフォームと統合することで、完全なワークフローを自動化することができます。

1. トリガー： ネットワークスキャナツールによって、公開Webサーバー上のLog4jなどの重大脆弱性が検出されます。
2. 充実： SOARプラットフォームは、スキャナーの資産詳細を自動的に照会し、脅威インテリジェンスフィードのアクティブエクスプロイトをチェックし、設定管理データベース（CMDB）でシステム所有者を検索します。
3. アクション: その後、Jira または ServiceNow に、サーバーの所有者に直接割り当てられた優先度の高いチケットを作成し、同時にセキュリティチームに通知を送信します。

適切なネットワーク・スキャン・ツールを選択するには、包括的なカバレッジ、詳細な脆弱性検出、スケーラビリティ、使いやすさ、規制当局のサポートなどのバランスを取る必要があります。 

これらの要素を慎重に評価し、ネットワークとセキュリティの目標に合わせることで、セキュリティ体制を強化し、可視性を向上させ、新たな脅威に迅速に対応できるツールを選択することができます。

Tenable Vulnerability Management が、ネットワークスキャンの自動化、リスクの優先順位付け、修正対応の迅速化にどのように役立つかをご覧ください。