脆弱性スキャンの重要性とペネトレーションテストの重要性を混同している人があまりに多いことに私は驚いています。脆弱性スキャンをペネトレーションテストで代用することはできません。また、ペネトレーションテストだけでネットワーク全体の安全性を確保することもできません。どちらも、それぞれのレベルで重要であり、サイバーリスクの分析に必要です。また、PCI、HIPAA、ISO 27001などの基準で必要とされています。
ペネトレーションテストでは、システムアーキテクチャー内の脆弱な箇所を利用して侵入を試みます。一方で、脆弱性スキャン(または脆弱性アセスメント)は既知の脆弱性の存在をチェックし、リスクに関するレポートを生成します。
ペネトレーションテストも脆弱性スキャンも、主に次の3つの要素を拠り所にしています。
- 範囲
- 資産のリスクおよび深刻度
- コストと時間
ペネトレーションテストは、範囲を絞って行われます。また常に人の手が介入します。自動化されたペネトレーションテストというものは存在しません。ペネトレーションテストには、ツールが必要です。時には数多くのツールが使用されます。また、非常に多くの経験を積んだ人物がテストを行う必要があります。有能なペネトレーションテストの担当者は、巧妙なスクリプトを作り上げ、攻撃のパラメータを変更し、テストで使用するツールの設定を微調整します。
ペネトレーションテストは、アプリケーションレベルやネットワークレベルで行いますが、特定の機能や部署、資産のグループに対しても実行できます。インフラストラクチャー全体やすべてのアプリケーションを対象にすることもできますが、それにかかるコストと時間を考えると現実的とは言えません。テストの範囲は、いくつもの要素を組み込んで定義します。通常はリスクと資産の重要度を基準にします。リスクが低いのにもかかわらず、侵入に何日もかかるような資産に大金を費やしてテストするのは非現実的でしょう。ペネトレーションテストには高いスキルと知識が要求されます。コストがかかるのはそのためです。テストの実行者が新しい脆弱性を突破したり、通常のビジネスプロセスでは知り得ることのできないセキュリティ上の欠陥を発見することもよくあります。通常、テストには数日から数週間かかります。1年に一度実行する場合が多く、レポートは簡潔にまとめられます。ペネトレーションテストが障害を発生させてしまう可能性は低くはありません。
一方、脆弱性スキャンは、アプリケーションやファイアウォール、ルータ、スイッチ、サーバーなどのネットワークデバイス内の潜在的な脆弱性を特定することを目的としています。脆弱性スキャンは自動化され、ネットワークレベルあるいはアプリケーションレベルで潜在的あるいは既知の脆弱性を検出することに焦点を当てています。脆弱性を突破することを目的としてはいません。脆弱性スキャナーは、潜在的な脆弱性を識別するだけで、脆弱性を利用することはありません。そのため、ゼロデイエクスプロイトの検出には向いていません。脆弱性スキャンは、企業全体を範囲としており、多数の資産を管理するためには自動化されたツールが必要です。また、ペネトレーションテストより広い範囲をカバーします。脆弱性スキャナーを効果的に使用するには、製品に特化した知識が必要です。通常は、確かなネットワーキングの知識を持つIT管理者やセキュリティ部門のスタッフが実施します。脆弱性スキャナーは、任意の数の資産上で頻繁に実行し、既知の脆弱性の存在とパッチの適用状況を確認することができます。したがって、重要なリソースに影響を与える深刻な脆弱性を迅速に排除することが可能です。脆弱性を修復するには、脆弱性管理ライフサイクルに従うと効果的です。予防的意味合いを持つペネトレーションテストとは反対に、脆弱性スキャンは「発見的コントロール」に区分されます。また、ペネトレーションテストと比較して、コストは低めです。
脆弱性管理はパッチ管理に取り込んで、効果的なパッチ適用作業に活かすことができます。パッチは本番環境に展開する前に、テストシステム上でテストする必要があります。
コントロールと基準
セキュリティコントロールおよび基準は、脆弱性スキャンの重要性を強調しています。たとえば、Center for Internet Security(CIS)コントロールNo.3の「継続的な脆弱性管理」では、「脆弱性を特定して修復し、攻撃のチャンスを最小化するために、新しい情報を継続的に取得して評価し、行動に移す」ようにセキュリティの担当者に訴えています。
PCIデータセキュリティ基準(PCI DSS)の要件11.2では、スキャンについて、「内部と外部ネットワークの脆弱性スキャンを、少なくとも四半期に一度およびネットワークでの大幅な変更後に実行すること」と定めています。
まとめ
脆弱性スキャンとペネトレーションテストの両方は、サイバーリスク分析プロセスに組み入れることで、企業、部署あるいは職務に最適なコントロールを決定する際に役立てることができます。サイバーセキュリティ上のリスクを軽減させるために、それらの連携が必要です。それぞれが重要であり、その目的と結果が異なるため、その違いを理解することが非常に重要です。
セキュリティスタッフにツールを配布したからといって、環境の安全が確保されるわけではないため、トレーニングもまた重要です。ツールを効果的に使用するための知識がなければ、大きなセキュリティリスクが生じることでしょう。セキュリティツールに関して深い知識を持つことにより、チームは高いROIと品質を確保して、組織のセキュリティ状況を適切に把握し、不必要なトラブルシューティングに費やされる時間とコストを削減できるようになります。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
