「脆弱性をスキャンして、発見された欠陥に積極的に対処することを怠っている組織では、コンピューターシステムが侵害される可能性が非常に高い」とCISは警告しています。脆弱性管理(VM)自体は新しいものではありませんが、この業界で22年の経験を持つ私は、数多くの進化を目の当たりにしてきました。その大きなトレンドは次の通りです。
資産の急速な多様化
資産の概念は、長年にわたって変化してきました。90年代には、資産と言えばPCやサーバーでした。その後、ラップトップとモバイルデバイスが登場し、今ではコンテナ、サーモスタット、時計なども資産に含まれます。
これらの資産には、完全なOS上で動作しないものもあります。また、インターフェイスもそれぞれ異なります。それでは、このように多種多様になった資産の脆弱性をどのようにして見つければよいのでしょうか。
これまで、脆弱性を検出するには、「エージェントをインストールする」、「デバイスをリモートからスキャンして応答のトラフィックを分析する」、「認証情報を使用してデバイスにログインする」という3つの方法がありました。これらの方法は今でも使われていますが、IoTデバイス上では必ずしも有効ではありません。そこで、API呼び出しや管理ソフトウェアのクエリを参照して、資産の状態を判断する方法も用いられています。
エージェントの復権
エージェントが有効なのはどのような場面で、エージェントレスの方が効果的なのはどのようなケースでしょうか。ある意味、エージェントは復権を得ていると言えます。数年前までは、エージェントには大量のディスクスペースと多くのメモリが必要でした。AVエージェントによるシステムの速度低下を経験した方も多いことでしょう。
現在では、デバイス上でそれほど多くのリソースを消費せずに済むようになりました。以下の2つのデバイスでは、エージェントが特に有効です。
- 重要なサーバー:重要なサーバーにエージェントをインストールして、ほぼリアルタイムで評価することができるため、何らかの変更や新たな脆弱性の発生をすぐに見つけることができます。
- ノートPC:ノートPCは常にネットワーク上にあるとは限りません。しかし、エージェントをインストールしておけば、いつでもスキャンできるようになります。リモートで働く従業員には、特に役立ちます。
認証情報の使用
初期の脆弱性管理では、リモートからの乗っ取りに注力しており、主に認証情報なしのリモートスキャンが行われていました。現在リモートスキャンはあまり使われなくなっています。認証情報なしのリモートスキャンは、まだ役には立つものの、プロトコルの脆弱性のようなごく一部の脆弱性に対してのみ有効です。他の脆弱性をこの方法でスキャンすると、多数の誤検出や潜在的な脆弱性が生じることになります。
認証情報を使用すると、さらに多くの可能性が生まれます。認証情報を使用してログインを行ってファイルやレジストリキー、RPMバージョンなどをチェックすることもできます。かつてはリモートスキャンでデバイスの悪用に対処していたケースが多く見られました。しかし、デバイスの停止を引き起こす可能性があるため、最近では敬遠されています。デバイスの稼働中にデバイスの安全を確保しながらチェックを行えることが重要です。認証情報を使用しないリモートチェックも多くの誤検出を招く可能性があります。
誤検出の低減
幸いなことに、認証情報を使用してエージェントベースのチェックを行うことで、より正確な結果が得られます。あなたが示した膨大な脆弱性のリストがみな誤検出であったら、システム管理者の信用を失うでしょう。
また、「誤った誤検出」(False-false positives)という別の問題もあります。つまり、最初は誤検出と思われたものが実際には脆弱性であることが判明するというケースです。Tripwireのリサーチチームは、当初誤検出と判断されたものの90%以上が実際には脆弱性であったことを明らかにしています。そのため、実行されたチェックの詳細と、ホストからの応答を示すことのできる脆弱性管理ソリューションを採用することをお勧めします。また、どのような質問にも答えることのできるリサーチチームを味方につけるとよいでしょう。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
