ネットワークスキャンツールの選び方

ネットワーク・スキャン・ツールを選択する際に最も重大な検討事項の1つは、ネットワーク上のすべての資産を検出する能力である。 

これは従来のオンプレミスデバイスにとどまらず、仮想マシン、クラウドワークロード、モバイルデバイス、そしてアプリケーションによっては産業制御システム（ICS）やIoTデバイスのようなオペレーショナルテクノロジー（OT）を含む。

この点が問題となるのはなぜでしょうか。

攻撃者はしばしば、目につきにくい資産や管理されていない資産をエクスプロイトして、最初のアクセスを獲得する。 一般的なデバイスしか検出できないスキャナーでは、大きな盲点が残り、環境がリスクにさらされる可能性があります。 

インフラが複数の環境にまたがっている場合は、アタックサーフェス全体を統合的に可視化できるツールを選択する。

例えば、動的なワークロードやコンテナを検出するためにクラウドAPIをサポートするネットワークスキャナーもあれば、産業環境のスキャンに特化したスキャナーもある。 

資産状況を事前に把握することで、ニーズに合わせた資産カバレッジのスキャナーを選択することができます。

オンプレミス、クラウド、OT環境を統合的に可視化したいですか？ 統合スキャンソリューションがサイバーエクスポージャーをどのように削減できるかをご覧ください。

スキャン技術によって目的は異なる。 アクティブスキャンとパッシブスキャンをサポートする堅牢なツールを探す：

Active scanning sends probes to find open ports, services and vulnerabilities. It works great, but it can impact sensitive systems or set off intrusion detection alarms. 

パッシブスキャンは、ネットワークトラフィックを静かにスキャンし、何も触れることなくデバイスや異常なアクティビティを検出します。 これは、病院や製造業のネットワークのように、アクティブスキャンが問題を引き起こす可能性のある場所では重要である。

エージェントベースのスキャンでは、軽量なソフトウェアエージェントをラップトップ、サーバー、クラウドインスタンスなどのエンドポイントに直接インストールする。 これらのエージェントは、ネットワーク全体のプローブや認証情報を使用せずに、詳細で正確なデータを得るために、脆弱性や設定の問題をホストから直接レポートします。 

この方法は、遠隔地の従業員や一時的なクラウド資産、ネットワークから頻繁に切り離されるデバイスをカバーするのに理想的です。

両方の方法を組み合わせたスキャナーを選択することで、ネットワークを完全かつ正確に把握することができるため、一時的なデバイスや不正な接続を発見することができます。 

また、パッシブスキャンは継続的なカバレッジを提供するため、リアルタイムの変化を先取りすることができます。

多くのスキャナーは単にデバイスと未対処のポートを特定するだけだが、優れたツールは特定の脆弱性を特定することで、さらにその上を行く。 これには、パッチが適用されていない、ソフトウェアのバージョンが古い、または脆弱性がある、設定ミス、既知のエクスプロイト経路などが含まれます。

NVD（National Vulnerability Database）、CVE（Common Vulnerabilities and Exposures）システム、その他の脅威インテリジェンス・フィードなど、定期的に更新される脆弱性データベースをスキャナーに統合し、常に最新の脅威を検知し、チームを圧倒する誤検知を減らすことができるスキャナーを探してください。

例えば、いくつかの高度なツールは、脆弱性とエクスプロイトの利用可能性を関連付けることができるため、修正に優先順位をつけるためのより多くのコンテキストを得ることができます。

認証スキャンは脆弱性検出精度を大幅に向上させます。 この種のスキャンでは、スキャナーでシステムにログインし、インストールされているソフトウェア、パッチ・レベル、セキュリティ設定などの内部情報を調べることができる。

このような深い可視性により、外部スキャンでは見落とされるような、ローカル権限の弱さ、セキュリティパッチの欠落、未承認ソフトウェアなどの問題が発見されることがよくある。 

しかし認証スキャンでは、それらの認証情報を管理し保護する責任がある。 

パスワード保管庫や認証情報マネージャーと統合して、機密データをリスクにさらすことなく、アクセス情報を安全に保管し、ローテーションできるツールを選びましょう。

認証スキャンは、他のシステム所有者やコンプライアンスポリシーとの調整も必要かもしれないが、その利点と誤検知の減少により、投資に値するものとなっている。

強力なネットワーク・スキャン・ツールは、正確なリスク・ベースの優先順位付けを行うことで、生データの域を超えることができます。 

長年、セキュリティチームはCVSS（共通脆弱性評価システム）だけに頼っていました。CVSSは、何千もの脆弱性を「高度」または「重大」と評価することがよくあります。 

最新のツールは、このような静的なスコアリングを越えて、野放しになっているアクティブなエクスプロイト可能性（つまり、この欠陥を使用した既知のマルウェアが存在するか）、深刻度、影響を受ける資産のビジネス上の重大度、インターネットへの露出度など、より豊かなコンテキストに基づいて脆弱性を評価します。 

このような多面的なアプローチにより、お客様のチームは、組織にとって真に差し迫った脅威となる脆弱性の一部に修正を集中させることができます。

カスタマイズ可能なダッシュボードやレポート機能を備えたスキャナーを探す。 

明確で簡潔なレポートにより、技術チームから幹部まで、ステークホルダーとのコミュニケーションが円滑になり、セキュリティ態勢の実証や投資の正当性の主張が容易になります。

リスクの高い脆弱性や新たな資産検出に対する自動アラートにより、対応時間を短縮し、継続的なセキュリティをサポートします。

深刻度の高いアラートが多すぎて苦労している？ リスクベースの優先順位付け機能を備えた脆弱性管理ツールを使用することで、最も重大なサイバーエクスポージャーに焦点を当てることができます。

ネットワーク・スキャン・ツールは、複雑さを増すことなく、あなたとともに拡張する必要があります。 パフォーマンスのボトルネックを発生させることなく、拡大する環境に対応できるよう、ツールをスムーズに拡張できるようにする。 

異なるネットワークセグメントやクラウド環境にデプロイ可能な分散型スキャンエンジン、リソースを動的に割り当てるクラウドネイティブアーキテクチャ、効率的なデータ処理機能などの機能に注目してください。 これらの機能により、クラウドインフラの進化に合わせて、新しいサイトやクラウドアカウント、デバイスの種類を追加することができます。

ビジネスニーズやリスク許容度に基づいてスキャン強度や頻度を調整できるよう、定期的なスキャンだけでなく継続的なスキャンにも対応しているかどうかを検討する。

また、スケーラビリティのあるツールは、インフラストラクチャの進化に合わせて、新しいサイト、クラウドアカウント、またはデバイスタイプのオンボーディングを容易にします。

多くの組織は、PCI DSS、HIPAA、SOX、NISTといった厳しい規制の枠組みの下で運営されている。 

コンプライアンステンプレート、自動レポート、監査対応文書が組み込まれたネットワークスキャンツールを監査することで、これらの要件を満たすことが容易になります。 

これらのツールは、継続的改善ライフサイクル（Plan-Do-Check-Act）のチェックとアクションの段階の基本であり、多くの規制の中心となっている。

使いやすさと統合性を評価する

最後に、ツールのデプロイメント、コンフィギュレーション、メンテナンスがいかに簡単であるかを考慮する。 ユーザーフレンドリーなインターフェースは、脆弱性の見逃しにリードする可能性のある設定ミスを減少させる。

脆弱性管理プラットフォーム、チケッティングシステム、セキュリティ情報イベント管理（SIEM）システム、オーケストレーションツールなど、既存のセキュリティスタックとシステムインテグレータを統合することで、ワークフローを自動化し、インシデント対応を迅速化できます。

例えば、SOARプラットフォームと統合することで、完全なワークフローを自動化することができる：

1. トリガー： ネットワークスキャナーによって、公開Webサーバー上のLog4jなどの重大脆弱性が検出される。
2. 充実： SOARプラットフォームは、スキャナーの資産詳細を自動的に照会し、脅威インテリジェンスフィードのアクティブエクスプロイトをチェックし、設定管理データベース（CMDB）でシステム所有者を検索します。
3. Action: その後、Jira または ServiceNow に、サーバーの所有者に直接割り当てられた優先度の高いチケットを作成し、同時にセキュリティチームに通知を送信します。

適切なネットワーク・スキャン・ツールを選択するには、包括的なカバレッジ、詳細な脆弱性検出、スケーラビリティ、使いやすさ、規制当局のサポートなどのバランスを取る必要があります。 

これらの要素を慎重に評価し、ネットワークとセキュリティの目標に合わせることで、セキュリティ体制を強化し、可視性を向上させ、新たな脅威に迅速に対応できるツールを選択することができます。

Discover how Tenable Vulnerability Management can help you automate network scanning, prioritize risks and accelerate remediation.