ネットワークスキャンと脆弱性スキャンの違い

ネットワークスキャンは、通常、ネットワークディスカバリとポート/サービススキャンの 2 つの重要な段階を含むプロセスです。 このプロセスは、ネットワークに接続されているすべてのデバイスとそれらが実行しているサービスを検出してマッピングします。

例えて言えば、大規模なイベントを主催し、出席者を確認する必要がある場合、誰がいるのか、どこにいるのか、何を持っているのかを知りたいでしょう。 

ネットワークスキャンは、IT 環境に対してまさにその役割を果たすのです。

ネットワークスキャナーは、ネットワークを探索してして次のものを検出します。

アクティブデバイス（ネットワークディスカバリー）: サーバー、ラップトップ、携帯電話、プリンター、クラウドワークロードなどに対応するアクティブ IP アドレスを特定します。

オープンポートやサービス（ポートスキャン）: 発見された各デバイスについて、どのネットワークポートが開いていて、どのサービスがそのポートで実行されているかを特定します。 たとえば、SSH（セキュアシェル）用のポート 22 や、HTTP（ウェブトラフィック）用のポート 80 を開いているサーバーがあるかもしれません。

ネットワークスキャンは、未知のデバイスや管理されていないデバイスを含め、ネットワーク上のあらゆるものの詳細なインベントリを作成するのに役立ちます。

脆弱性スキャンでは、ハッカーが悪用される可能性のあるエクスプロイトについて資産を分析します。

• セキュリティパッチやアップデートの欠落
• ソフトウェアのバージョンが古い、またはバグがある
• 脆弱なパスワードやデフォルトログインの存在
• システムを露出させる不良設定
• 既知のセキュリティ問題

例えば、脆弱性スキャンによって、サーバー上の SSH サービスに重大なリモートコード実行の欠陥があるバージョンが実行されていることがわかったり、ユーザーアカウントに多要素認証がなく、侵害リスクが高まっていることがわかったりします。

ネットワークスキャンと脆弱性スキャンは密接に絡み合っており、併用すれば最高の効果が発揮できます。 

プロセスを論理的な順序として捉えみると、 ネットワークディスカバリとポートスキャンが最初のステップであり、すべてのデバイスと実行中のサービスの包括的なマップを継続的に更新します。

そこにある資産とサービスのインベントリは、脆弱性スキャンのための直接のインプットとなり、脆弱性スキャナーは、特定された各資産とサービスのセキュリティ体制を体系的に評価していきます。 

ネットワークスキャンがなければ、脆弱性スキャンは既知の資産しかスキャンできません。

未承認のノート PC、IoT デバイス、クラウドワークロードなど、新しいデバイスやシャドー IT コンポーネントが気づかないうちに出現している場合、脆弱性スキャン単独では見つからない可能性があるのです。 その場合、攻撃者に悪用される可能性のあるセキュリティギャップが見逃されることになります。 

定期的なネットワークスキャンを実行すれば、どんなにダイナミックで複雑な環境であっても、すべての資産を確実に把握することができます。

ネットワークスキャンによってすべてのデバイスと未対処の脆弱性サービスが特定されると、脆弱性スキャンはそこで得られたインベントリを出発点として診断を開始します。 各デバイスの詳細なチェックを行い、パッチの欠落、古いソフトウェア、設定ミスなどの弱点を探し出します。 

脆弱性スキャンをネットワークスキャンに加えれば、推測や不完全な情報ではなく、組織の環境内に実際にあるものに基づいてセキュリティ問題のランク付けされたリストを得ることができます。

ネットワークスキャンはまた、新しいデバイスの出現やサービス設定の変更など、変化が起こったときにそれを検出し、目的を定めた脆弱性スキャンをすぐに開始することができます。

このように 2 つのスキャンを繰り返すことによって、セキュリティの問題を常に認識することができ、ハッカーが攻撃する隙を減らすことができます。

両方のスキャンを組み合わせると、実際に次のことが可能になります。

• 正確で最新の可視性を資産に対して維持する
• 検出されたすべてのデバイスとサービスで脆弱性を検出
• リスクと資産の重大度に基づいた重点的な修正
• 未承認・不正デバイスの検出
• ネットワークの可視化と脆弱性管理によってコンプライアンス要件を満たす

ネットワークスキャンと脆弱性スキャンを組み合わせることで、ネットワーク上に何があり、どこが危険にさらされているかを発見する重層的な防御が可能になります。

ネットワークスキャンも脆弱性スキャンも、アプローチを変えて実行できます。

認証なしのスキャンは、外部のハッカーと同じように行動します。 認証情報なしでネットワークを探索し、組織の環境の外周周辺にある脆弱性を検出します。 この種のスキャンは、ネットワークについて外部者が見ることができるものを理解するのに役立ちますが、より多くの不適切なアラームが作成される傾向があります。

認証スキャンは、提供された認証情報を使ってシステムにログインし、内部からチェックを実行するもので、資産のセキュリティ状況をより正確かつ低レベルで把握するものであり、パッチの欠落、安全でないローカル設定、その他の目に見えない問題を外部から検出することができます。

両方のスキャンタイプを組み合わせることで、より全体的なセキュリティ状況を把握し、外部と内部の視点からリスクを明らかにすることができます。

ネットワークスキャンだけを行っていれば、どのようなデバイスやサービスが存在しているかはわかりますが、それらが侵入されやすいものかどうかはわかりません。

その一方で、ネットワーク上の実態を把握せずに脆弱性スキャンを実行すると、脆弱性を見落とすことになり、結果として攻撃に対して完全に無防備な状態になる可能性があります。

ネットワークスキャンと脆弱性スキャンを併用すれば、以下が可能になります。

ネットワークが完全に可視化されるので、デバイスやサービスを見失うことがない

正確な脆弱性評価によってリスクの検出と優先順位付けができる

サイバーリスクをまず修正できるので、リスク管理が強化される

ネットワークスキャンと脆弱性スキャンを組み合わせたスマートスキャンをお探しですか？ Tenable Vulnerability Management がどのように可視化を簡素化し、リスクを低減するかをご覧ください。

ネットワークスキャンと脆弱性スキャンは、セキュリティプログラムの中核となる、継続的で連結した 1 つのプロセスの 2 つの部分であると考えてください。

以下の 9 つのベストプラクティスは、CIS（Center for Internet Security）コントローラーなどの主要なサイバーセキュリティフレームワークに沿ったものであり、両者を最大限に活用するのに役立ちます。

1.正確で最新の資産インベントリを維持する

• 定期的なネットワークスキャンを設定し、オンプレミス、クラウドワークロード、モバイルデバイス、IoT など、環境内のすべてのデバイスを検出します。
• スキャンは新しいデバイスや不正なデバイスを素早く発見し、サイバーエクスポージャーを減らすことができます。
• ネットワークの変化に応じてインベントリをリアルタイムで更新する自動化ツールを使用します。

2. ネットワークインベントリに基づいて脆弱性診断を行う

• 現在の資産リストを脆弱性スキャンのスタートラインとして使用ます。
• 評価では、デバイス、サービス、ネットワーク領域を省略せず、攻撃者が狙う可能性のあるものすべてについて、その一部だけでなく、すべてのサイバーエクスポージャーを見つけることができるようにします。

3. 未認証スキャンと認証スキャンを両刀を駆使

• 未認証（外部）と認証（内部）の脆弱性スキャンから、重要な情報が得られます。
• 認証なしのスキャンは、攻撃者がログイン認証なしで発見できる脆弱性を表示します。
• 認証ありのスキャンは、より深く、システムの細部にまで入り込み、パッチの欠落や設定の不備などの隠れた問題を見つけます。
• 両方を使うことで、セキュリティの全体像を把握することができます。

4. リスクベースのスコアによる脆弱性の優先順位付け

• エクスプロイトの悪用される可能性、資産の重大度、潜在的なビジネスへの影響などの要因を考慮したリスクベースの優先順位付けモデルを使用することで、お客様固有の環境において実際のリスクを引き起こすサイバーエクスポージャーに修正を集中させることができます。

5. 可能な限りスキャンとアラートを自動化する

• スキャンのスケジューリングと脆弱性検出を自動化することによって、手動による介入なしに継続的なカバレッジを実現させます。
• 重大な脆弱性、新しいデバイスの発見、ネットワークの重大な変更に対してリアルタイムのアラートを設定することで、担当者は先行的かつ迅速に対応することができます。

6. ネットワークセグメントごとにスキャンポリシーをカスタマイズ

• スキャンの強度、頻度、範囲を資産の種類やリスクレベルに応じて調整します。
• 重大度の高いサーバーや機密性の高いシステムには、より頻繁に、より深くスキャンする必要があるかもしれませんが、重要度の低いデバイスはそれほど積極的にスキャンする必要はありません。
• カスタマイズすることによって、誤検知を減らし、ネットワークパフォーマンスへの影響を最小限に抑えます。

7. スキャンを幅広いセキュリティワークフローの一部に統合

• スキャン結果が脆弱性管理、パッチ管理、インシデント対応プラットフォームに確実に反映されるようにします。
• 統合すると、チケットの作成、修正追跡、コンプライアンスレポートの作成が自動化され、ワークフローが合理化されます。

8. セキュリティチームと IT チームのトレーニングを実施

• スキャンツールは大量のデータを生成するため、適切に解釈されないと手におえなくなる可能性があります。
• セキュリティ担当者がスキャンレポート、リスク評価方法、修正優先順位を理解できるようにトレーニングを実施する必要があります。
• ネットワークチーム、セキュリティチーム、オペレーションチーム間の連携を促進し、迅速な解決を図ります。

9. スキャン戦略の定期的な見直しと更新

• ネットワークが変化し、新たな脅威が出現するのに対応して、スキャンポリシーとツールを見直してください。
• 現在のビジネスニーズや脅威の状況に合わせて、スケジュール、スコープ、スキャン方法を更新します。
• 継続的な改善をすれば、スキャンプログラムは常に効果的で適切なものとなります。

これらのベストプラクティスに従うことで、包括的な可視性、正確な脆弱性検出、合理的な修正を備えたスキャンプログラムを構築することができます。 この多層的なアプローチはリスクを軽減し、高度化する脅威からネットワークを守るのに役立ちます。

さあ、統合ネットワークと脆弱性診断で防御を強化しましょう! Tenable　Vulnerability Managementが、どのように完全な可視化、リスクの優先順位付け、修正の迅速化に役立つかをご覧ください。