脆弱性スキャナーとは

• 脆弱性スキャナーは、ネットワーク、クラウド環境、ウェブアプリケーションにおけるセキュリティ脆弱性の検出を自動化します。
• 効果的な脆弱性診断には、セキュリティの盲点をなくすために、エージェントベースとエージェントレスのスキャン手法を戦略的に組み合わせる必要がある。
• 生のセキュリティスキャンデータは「アラート疲れ」を引き起こすことが多いため、チームには、最初に何を修正すべきかを優先順位付けするためのサイバーエクスポージャー管理が必要である。
• Tenable Nessusは、精度の業界標準であり、地球上で最も広くデプロイされているサイバーセキュリティツールの1つです。

脆弱性スキャナーとは、組織のアタックサーフェスを検査し、脆弱性、設定ミス、パッチが適用されていない資産、古いオペレーティングシステムなどのセキュリティ上の弱点を検出する自動化されたセキュリティツールです。 ネットワーク、アプリケーション、クラウド環境をクロールし、攻撃者が悪用される可能性のあるサイバーリスクを検出します。

脆弱性診断の核心は、NISTが管理しているCVE（Common Vulnerabilities and Exposures）のような既知の欠陥のデータベースとシステムを比較することです。 スキャナーは、例えば、パッチが適用されていないバージョンのWindowsや設定ミスのあるAWSバケットなど、一致するものを検出すると、セキュリティチームに問題を知らせます。

従来、セキュリティ・スキャナーはオンプレミスのサーバーしかチェックしなかったかもしれない。 今日、脆弱性検出ツールは、従来のIT資産、クラウドインスタンス、ウェブアプリケーション、オペレーショナルテクノロジー（OT）、AI、さらにはアイデンティティシステムなど、巨大でハイブリッドなアタックサーフェスをカバーしなければならない。

しかし、最新の脆弱性診断スキャナーは、1回のスキャンで何千もの問題を検出できるため、本当の課題は、どれが重要で、どれを最初に修正すべきかを知ることである。 すべての組織が、単純な脆弱性診断やあらゆるものにパッチを当てようとすることから、包括的なサイバーエクスポージャー管理戦略の採用へとシフトすべき理由がここにある。 生のスキャンデータにコンテキストを追加することで、どこにセキュリティ上の問題があるかだけでなく、何がビジネスにとって実際に危険なのかを理解することができます。

Nessusが世界で最も広くデプロイされている脆弱性スキャナーである理由をご覧ください。

自動スキャンがどのようにインフラを保護するかを理解するには、そのプロセスを3つの段階に分けて考えてみよう。

1. スキャナーは資産検出を行い、ネットワークを掃除して、サーバー、ラップトップ、コンテナなどのアクティブな資産を特定します。
2. それは識別に移行し、シグネチャのデータベースとそれらの属性を比較することによって、既知の欠陥があるかどうかを資産から探る。
3. 発見された脆弱性とその深刻度スコアの詳細なレポートを生成します。

しかし、結果の質はスキャンの仕方に大きく左右される。 最近のほとんどのセキュリティチームは、100％のカバレッジを確保するために、以下の方法を組み合わせて使用している：

エージェントベースとエージェントレススキャン

何年もの間、セキュリティの議論の中心は、インストールされたエージェントを使うか、ネットワークベースのスキャンを使うかということだった。 現実には、成熟度の高いセキュリティ・プログラムにはその両方が必要である。

• Agent-based scanning: 軽量ソフトウェアエージェントをエンドポイントに直接インストールする。 このエージェントはローカルで実行されるため、認証マネージャーを管理したり、複雑なファイヤーウォールルールをナビゲートしたりすることなく、システムの設定を深く可視化することができます。 従業員のノートパソコンなど、ネットワーク外を動き回る資産に最適です。
• Agentless scanning: この方法は、外部からネットワーク経由で資産をスキャンする。 ルーター、IoT機器、レガシーOT機器など、ソフトウェアをインストールできない機器にとっては重大度だ。

To learn more about optimizing your deployment strategy, read our guide on agent-based scanning versus agentless approaches.

認証スキャンと非認証スキャン

もう一つの重大な違いは、脆弱性スキャナーに与えるアクセス・レベルである。

• Unauthenticated scans: スキャナーは外部からの侵入者のように振る舞い、ネットワーク周辺を探り、外部から何が見えるかを確認する。 認証されていないスキャンは、外部からの攻撃をシミュレートするのに役立つが、内部設定の欠陥を見逃してしまうことが多い。
• Authenticated scans: ターゲット・デバイスにログインするための認証情報（サービス・アカウントのようなもの）をスキャナーに提供する。 認証スキャンでは、インストールされているソフトウェアのバージョン、レジストリキー、パッチレベルなど、ツールの裏側まで調べることができるため、リスクをはるかに正確に把握することができます。

バグを検出するだけではない。 重要なことを修正する。 Tenable One 。

時代のアタックサーフェスは非常に多様であるため、1種類のスキャナーで十分であることはほとんどない。 セキュリティチームは通常、オンプレミスからクラウドネイティブアプリケーションまで、さまざまな環境をカバーするために脆弱性診断ツール群に依存している。

ネットワーク脆弱性スキャナー

サイバーセキュリティの伝統的な主力製品であるネットワーク脆弱性スキャナーは、サーバー、ワークステーション、ルーター、スイッチなど、社内外のネットワークに接続された資産をスキャンします。 攻撃者の侵入口となる可能性のあるオープンポート、設定ミスのサービス、パッチが適用されていないオペレーティングシステムを特定します。

ウェブアプリケーション スキャナー

基盤となるインフラストラクチャを検査するネットワークスキャナーとは異なり、ウェブアプリケーションスキャナーは、ウェブサイト脆弱性スキャナー（動的アプリケーションセキュリティテスト（DAST）ツールとも呼ばれる）とも呼ばれ、アプリケーション層を検査します。 ウェブスキャン対象をクロールし、SQLインジェクション、クロスサイトスクリプティング（XSS）、壊れた認証メカニズムなどのコードレベルの欠陥を検出します。 

For a deeper dive into securing your apps, review Tenable best practices for web scanning.

クラウド脆弱性スキャナー

従来の脆弱性スキャナーは、クラウド環境の動的な性質に対応するのに苦労していました。 クラウド専用の脆弱性スキャナーは、クラウドプロバイダーのAPIと直接統合し、過剰な権限、脆弱性、設定ミスを検出することができる。 

Tenable Oneのサイバーエクスポージャー管理の一部であるTenableクラウドセキュリティのようなソリューションは、このような一時的な環境をエージェントレスで可視化します。

脆弱性診断は、アタックサーフェスを縮小するための重大な第一歩ではあるが、脆弱性診断だけに頼っていると、セキュリティチームがデータやアラートノイズによって麻痺してしまう可能性がある。 大企業のスキャン1回で、5万件もの重大な検出結果が出ることもある。 もしあなたのチームがそれらすべてにパッチを当てようとすれば、本当のリスクに手をつける前に燃え尽きてしまうだろう。

システムがコンテキストなしに多くの検出結果を提供すると、アラート疲労が生じる。 従来のスキャナーは、技術的深刻度（CVSSスコア）のみに基づいて脆弱性を評価することが多いからだ。 

重大度または高いCVSSスコアは、憂慮すべきものである。 それでも、脆弱性があなたの特定の環境で実際にエクスプロイトされる可能性があるかどうか、あるいはミッションクリティカルな資産に存在するかどうかはわからない。 CISAのKnown Exploited Vulnerability（既知のエクスプロイトされる可能性）のようなリストと調査結果を照合したり、動的で文脈に沿った脅威インテリジェンスを備えたサイバーエクスポージャー管理ツールを使用したりする必要があるのはそのためです。 

コンテキストがなければ、チームは理論上のバグパッチに何百時間も費やすだけで、危険な攻撃経路を放置することになる。

これに対抗するには、単純なボリューム管理からインテリジェントな脆弱性優先順位付けへと戦略を転換する。

脆弱性の状況と優先順位付けは、サイバーエクスポージャー管理の重要な部分である。 スタンドアロンの脆弱性評価ツールとは異なり、Tenable Oneのようなサイバーエクスポージャー管理プラットフォームは、スキャナーからデータを取り込み、脅威インテリジェンス、ビジネスコンテキスト、資産の重大度と組み合わせます。

例えば、サイバーエクスポージャー管理プログラムは、単に「サーバーAに脆弱性があります」と伝えるのではなく、「サーバーAに脆弱性があります： 「サーバーAには、攻撃者が現在エクスプロイトしている脆弱性がある。 この資産と脆弱性は、顧客データベースに直接つながる。" このようなコンテキストは、修正チームがアラートのノイズを無視し、本当に重要な1.6%の脆弱性を修正するのに役立ちます。

脆弱性診断の基本をマスターする準備はできていますか？ Read the guide: 効果的な脆弱性診断のための5つのステップ.

セキュリティの専門家が市場で最高の脆弱性スキャナーについて議論するとき、ある名前が他のどの名前よりも多く挙がる。 Tenable Oneの一部であるTenable Nessus は、業界で最も広くデプロイされている脆弱性スキャナーであり、世界中の40,000以上の組織から信頼されています。

Nessus脆弱性スキャナーは、迅速な脆弱性評価を行うコンサルタントであっても、大規模なネットワークを保護する企業アーキテクトであっても、必要な精度と深さを提供します。 このツールは、他のどのツールよりも多くのテクノロジー（オペレーテ ィングシステム、データベース、アプリケーション）をカバーしており、脆弱性管理プログラ ムにとって不可欠な出発点となっています。

脆弱性診断とペネトレーションテストの違いは何ですか？

脆弱性診断とは、すべてのシステムにわたる迅速なセキュリティ・チェックである。 自動化されていて、問題がありそうな場所を教えてくれる。 一方、ペネトレーションテストとは、実際のセキュリティ専門家が侵入を試み、それらの弱点をエクスプロイトすることで、攻撃者が実際にどのような損害を与えることができるかを確認するものである。

脆弱性のスキャンはどのくらいの頻度で行うべきですか？

ベストプラクティスでは、自動スキャンを継続的に、あるいは少なくとも毎週実行することを推奨している。 Tenableリサーチエンジニアは日々新しい脆弱性(CVE)を検出しているため、月1回や四半期に1回のスキャンでは、その間に発生するリスクにさらされてしまいます。

脆弱性スキャナーでマルウェアを検出できるか？

スキャナーの中には、マルウェアの兆候（疑わしいファイルやプロセスなど）を特定できるものもありますが、エンドポイント検知・対応（EDR）ツールやアンチウイルス・ソフトウェアに取って代わるものではありません。 彼らの主な目標は、マルウェアが最初に侵入することを可能にするソフトウェアの欠陥を検出することである。

ネットワークスキャナーとウェブアプリスキャナーの違いは何ですか？

ネットワーク脆弱性スキャナーは、基盤となるインフラ（サーバー、ルーター、オペレーティング・システム）にパッチが適用されていないか、設定ミスがないかをチェックする。 ウェブサイトの脆弱性スキャナは、SQL インジェクションやクロスサイトスクリプティング(XSS)のようなロジックエラーのために、アプリケーションコード自体をテストします。

CTA: 今すぐ無料の脆弱性診断を開始しましょう。 Tenable Oneの一員であるNessusをご利用ください。