毎年の定期健診で、簡単な問診をし、医者が心臓に耳をすませ喉をチェックし、健康に対する証明書を発行してくれればきっと気分は良いでしょう。しかし、健康に不安を感じている場合や慢性疾患の危険性がある場合には、表面的な診断では大きな不安をいただくかもしれません。
残念ながら企業のセキュリティ部門の脆弱性スキャンの担当者は多くの場合、スキャンから大雑把な診断しか得られていない実情を抱えています。 その理由は深い診断を行うことが困難だからです。
ほとんどの脆弱性管理ソリューションは2種類の脆弱性評価を提供しています。クレデンシャルを使う方法(スキャン対象のホストにログインして検査を行うための、ログインのためのクレデンシャル)と、クレデンシャルを使わない方法-認証済スキャン、非認証スキャンとも呼ばれる-です。クレデンシャルを使わないスキャンは、ホストによって公開されたネットワークサービスを調べるだけで脆弱性を迅速に検証する非常に便利なツールです。
残念ながらクレデンシャルなしのスキャンはネットワークに公開されていないアプリケーションとオペレーティングシステム部分の脆弱性や、スキャナとホストの間に位置するファイアウォールに隠されている可能性のある脆弱性への深い見識は得られません。
このクレデンシャルなしのスキャンは、システムは安全であるという誤った診断を提供する可能性がありますが、実際には攻撃者から頻繁に狙われており、セキュリティリスクの正確な指標とはなりえません。
セキュリティチームがクレデンシャルを利用したスキャンを完了するのに苦労する最大の理由の一つは、正確なクレデンシャルのリストを維持することが困難を極めることにあります。
大規模な組織では、特定の資産の所有者が常に明らかになっているとは限りません。所有者が明確であったとしても、多くの資産の所有者が自己のクレデンシャル情報を共有することにあまり乗り気ではないため、それらの情報を取得することは非常に手のかかる作業だと言えます。このような行為が会社の方針として禁止されている場合もあります。
ここでは、すでに対象とするスキャンのクレデンシャル情報のリストが整っていると仮定します。それでも、リストを入手した後もまだ、有効期限切れやパスワード変更、タイプミス、アクセス制限と管理者権限の問題に対処する必要があります。
幸いなことに、ネットワーク・セキュリティのリスクを正確に見極めるのに必要な重要な脆弱性データをセキュリティチームが取得できるようにする、クレデンシャルを使ったスキャンを行う前に、クレデンシャルに関する問題を迅速に診断し処理するソリューションがあります。
クレデンシャル・テストは、クレデンシャルが実行可能なものかを予行テストし、どのホストが認証でき、どれが認証できないかの報告を行います。この機能によって、セキュリティチームは脆弱性アセスメントを実施する前に、迅速にクレデンシャルの問題を確認、解決できます。 そして、脆弱性アセスメントが、正しく設定されなかったクレデンシャルによるエラー、情報が不確か、あるいは不完全な情報が戻されてしまう様なことを回避できます。
クレデンシャルのテストは、クレデンシャルを利用した脆弱性スキャンに関わる問題を解決し、より正確な脆弱性評価情報を提供するのに役立ちます。そして、ネットワーク全般に渡りより深く情報を把握するのに役立ちます。
脆弱性スキャンにおける、事前クレデンシャルのテストはTripwire IP360で提供しています。
Title image courtesy of ShutterStock
元の記事はこちらからご覧いただけます。