脆弱性評価・管理

組織全体のアタックサーフェスを可視化する脆弱性情報評価・管理

脆弱性管理はどの組織にとってもセキュリティプログラムの重要な部分であり、デジタル時代のサイバーセキュリティリスクを管理および測定するための新たな領域である Cyber Exposure の土台です。成熟した脆弱性管理プログラムには、Cyber Exposure ライフサイクルの5つのステップがすべて含まれています。

このソリューション概要は、脆弱性情報管理の 2 つ目のステップである「評価」とアタックサーフェスの可視化・情報資産保護に焦点を当てています。

「脆弱性評価」とは、企業・組織におけるすべての IT 資産に関するサイバー上の露呈とリスクを把握することを目的としています。

主な利点

• アタックサーフェスを隈なく評価することで、リスクを把握し、組織と情報資産を十分に保護できるようになります。
• パッチ適用および構成の変更の監査を行い、脆弱性および不適当な構成が期待通りに修復されていることを確実にします。
• 調査の優先度付けに役立てるために、脆弱性および不適当なミスに関する情報をインシデント管理チームに通知します。

課題

すべての資産を評価することは、次の2つの主な理由から困難です。

• 従来の IT、一時的、モバイル、動的、および運用中の技術資産を含む、多様な種類の資産には異なる評価技術を必要とすることが多々あります。アクティブ評価スキャンは従来のIT資産に最も適しています。しかし、クラウド、Web アプリ、コンテナおよび運用・制御技術（OT）は更なる評価メソッドを必要とします。例えば、パッシブモニタリングを使用して、PLC や RTU などの OT 資産を評価する必要があります。これにより、動作を中断するアクティブスキャンのリスクを減らします。

• データの正確性を保証すること。不正確な評価データほど、資産所有者/管理者から見れば、セキュリティの信頼性を損なうものはありません。1つの不正な数字があるだけで、所有者/管理者はあなたのすべての作業を軽視するかもしれません。最適な範囲、深度、および頻度で評価するために、入念な準備が必要です。資産および/または脆弱性を二重にカウントせずに幅広い資産の評価をするためには、適当な技術が必要です。認証された詳細な評価のために現在の資格情報が必要であり、評価中に正確なテストを実行する必要があります。最後に、タイムリーな情報を提供する必要があります。

ソリューション

組織のアタックサーフェス全体を特定する成熟した評価能力の構築には4つのレベルがあり、Tenable はそれぞれのレベルでサポートします。

レベル1. 従来のオンプレミス資産の評価

どのホストにも適している内部脆弱性スキャンを実行するために、評価したい検出済みホストを選択し、Nessus Basic Network Scan のテンプレートを使用する必要があります。レベル1評価では、Nessusが認証済みスキャンに必要な資格情報を持っていないと仮定します。したがって Nessusは、Basic Network Scan に含まれるが資格情報を必要とするローカルセキュリティチェックを自動的にスキップします。

レベル2. 評価の範囲、深度および頻度の向上

測定して、完全なアタックサーフェイスを管理するために、評価の範囲を広げ、最近のすべての資産を含めなければなりません。Tenable は、ノート PC、モバイル、仮想インフラストラクチャ、クラウド、ウェブアプリ、コンテナ、およびオペレーショナルテクノロジー向けに最適化された評価能力を提供します。急速な展開を見せている開発プロセスを有効にしながら、セキュリティを実装するために新しい考え方を採用し、アプリケーション開発との新しい関係を築き、革新的な方法を見つける必要があるかもしれません。1つの方法としては、ソフトウェア資産が生産環境に展開されるまで待つのではなく、開発段階のソフトウェアビルドワークフローに評価を統合することです。

認証済みスキャンおよびエージェントを使用することで、さらに深くまで評価を行います。認証スキャンとも呼ばれる認証済みスキャンは、資格情報を使用して、リモートでデバイスにログインし、デバイスを徹底的に検査します。認証済みスキャンはデバイスを徹底的に調べるので、インストールされたソフトウェアおよび脆弱性についての豊富なセキュリティ関連情報を集めることができます。ターゲットデバイスにインストールされたソフトウェアによって実行されたエージェントベースのスキャンは、徹底的にデバイスを確認することで、認証済みスキャンと同様の詳細な情報を提供できます。エージェントは、一時的な資産に対する 2 つの一般的な問題を解決します。1 つ目は、スキャン中にネットワークから切断された資産を評価しないという盲点を排除します。2 つ目は、たとえIPアドレスが再接続ごとに変更されても、特定の資産（およびその脆弱性）を一度だけ報告します。

マルウェア検出を評価に含める必要があり、認証済みスキャンがファイルシステムの既知のマルウェアを検索することが可能になります。さらに、多くのアンチウィルス製品の存在、更新状態、および動作を検出することができます。

その場しのぎの評価から、定期的にスケジュールされた間隔に評価頻度を増加させる必要があります。その間隔は、毎週でなくても、少なくともパッチ適用サイクルと同様の頻度である必要があります。

レベル3. 構成を評価し、資産クラスに応じて評価を最適化する

コンフィギュレーション・アセスメントは、FTP および RDP などの不要なサービスを無効にし、強力な認証を実施し、資産全般を強固にすることで、資産のアタックサーフェスを減らします。お使いのサーバー、デスクトップ、ノート PC、ウェブサービス、データベース、クラウドインフラ、ネットワークデバイスなどを、Center for Internet Security、国防情報システム局、および多くのベンダーの基準を使用して評価することができます。メモ：これら基準のいずれかに照らして資産を初めて評価する場合、予想よりも多くの構成上の問題が見つかる可能性があります。したがって、基準を調整して始めは要件を減らし、その後徐々に増やす必要があるかもしれません。

各資産クラスの SLA に基づいて評価パラメータを定義します。異なるビジネスサービスの予測された損失規模に基づいて、アタックサーフェスを安全にするために、資産クラスSLAは評価の深度、範囲、および頻度を微調整します。「高」と分類された資産を他の資産クラスよりも徹底的に評価します。

レベル4. 資産の継続的な評価および特権アクセス管理との統合

このレベルでは、新しい資産のリアルタイムに近い評価、および評価SLAの定期的なレビューを追加します。また該当する場合には、特権アクセス管理システムと統合することができます。

リアルタイム評価は、新しく検出された資産を即座に測定します。パッシブモニタリングによって、多くの新しい脆弱性を継続的に特定し、また自動的にアクティブスキャンを起動し、新しく検出された資産をより徹底的に評価することができます。新しい資産がビルドイメージにエージェントを含んだ場合、エージェントは自動的に資産を評価し、結果を報告します。

SLA レビューは、評価ポリシー（深度、範囲、および頻度）が各資産クラスに適合し続けることを保証します。例えば、収益を生み出すWebサイトを担当するアプリケーション開発チームがコンテナ技術またはAzureを最近使用し始めた場合、適切な評価ポリシーを更新するために連携する必要があります。

認証スキャンに必要な資格情報を定期的に変更する場合に、特権アクセス管理（PAM）の統合が役立ちます。その統合によって、スキャンの失敗を防止すべく現在の資格情報をスキャナに自動的に提供します。

詳細情報:

jp.tenable.comをご覧ください。

お問い合わせ:

[email protected] 宛てにメールを送信、または tenable.com/contact からご連絡ください