脆弱性スキャナーの定番の1つである「脆弱性」が20周年を迎えた。Nessusによって脆弱性を管理できるようになった現在でも、脆弱性を突いた攻撃が絶えることはない。

今回、Nessusの開発者であり、Tenable Network Securityの創業者であるRenaud Deraison氏に脆弱性を開発した経緯、脆弱性対策のポイントなどについて聞いた。また、Tenable Network Security Japanの代表取締役社長を務めるDoug Neuman氏に日本における取り組みについて聞いた。

  • 左から、Network Security Japan 代表取締役社長 Doug Neuman氏、Tenable Network Security CTO Renaud Deraison氏

--Nessusを開発しようと考えた経緯を聞かせてほしい--

Deraison氏: 17歳の時にNessusの最初のバージョンをリリースしたのだが、当時、「プログラミング」「ネットワーク」「UNIXシステムの管理」という3つのことにだけ興味を持っていた。

これら3つを活用してできることを考えた時に出てきたのがNessusだ。当時、提供されていた脆弱性スキャナーを使ってみたところ、機能に物足りなさを感じ、もっと改善できるはずと思った。

--なぜ脆弱性に興味を持ったのか?--

Deraison氏: 20年前、セキュリティの創成期だったので、脆弱性を追跡、管理、監査できるツールがなかった。そうした中、bugtraqというセキュリティ関連のメーリングリストに参加していた。

そこで、「ソフトウェアのバグを見つけた」という投稿をよく見かけたことから、ソフトウェアの改善とシステムの管理に関連性があることに気づいた。また、セキュリティをテストできる方法、特に攻撃者の視点で遠隔からシステムを把握できる方法があれば、おもしろいだろうと考えた。

--Nessusは20年間使い続けられてきたが、その理由は何か?--

Deraison氏: 大きく2つの理由があると考えている。1つ目の理由は、Nessusはセキュリティ上の問題を特定できるからだ。20年前、セキュリティを管理できるツールがなかった。Nessusを使うことで、セキュリティの専門家になることができた。

2つ目の理由は、インターネットに接続しているモノが増えているので、それらを追跡する必要性が生まれているからだ。Nessusならそれができる。この20年の間、テクノロジーのトランスフォーメーションが起こっている。その結果、以前、企業はビジネスを最適化するためにITを使っていたが、今では企業にとってITはなくてはならないものになっている。

つまり、企業にとってITインフラの重要性が増しているのだ。例えば、WannaCryによる大規模感染で、世界中で工場が停止し、ビジネスに大きなダメージを与えた。

パブリッククラウドやIoTなど、さまざまなものがインターネットにつながるようになってきており、こうしたものをすべて追跡して管理することが必要になっている。これを実現して、ITの健全性を図ることができるツールはNessusだけだ。

--Nessusは開発当初、オープンソースソフトウェアとして公開されていたが、今では有償ソフトウェアとして提供されている。有償化に踏み切った転機は?--

Deraison氏: 有償ソフトウェアに変更した理由は2つある。1つは「多くのユーザーがいたが、ソースコードに貢献しているユーザーは少なかったこと」であり、もう1つは「オープンソースソフトウェアだと、競合が利用できてしまうこと」だ。

有償にしたことで、製品の質とユーザーエクスピリエンスが向上した。例えば、オープンソースソフトウェアの場合、ユーザーはダウンロードとコンパイルが必要だったが、今では必要ない。ユーザーから見ても、有償になったことはメリットがあると言える。

--日本ではどのような取り組みに注力しているか?--

Neuman氏: 日本はセキュリティエンジニアが不足していることから、セキュリティに関する最新情報を届けることで、日本企業の役に立てると考えている。特に、アセットの特定やアセットがビジネスに与えるリスクなど、セキュリティの基本を理解してもらうことを重視している。

日本は2020年にオリンピック開催を控えているので、トレーニングやイベントを定期的に開催するなど、教育にも投資している。セキュリティ業界に貢献したいと考えており、これはNessusのDNAと言える。Nessusにおいては、Nessusによってセキュリティを学べることが重要だと考えている。

われわれは20年前からコミュニティに貢献してきたが、今後は、セキュリティの現場の人が層部にセキュリティのリスクを正確に伝えることができるかということを支援できるよう、ステップアップしたい。

--20年前にNessusが生まれて、脆弱性を管理できるようになったが、今でも脆弱性はサイバー攻撃を引き起こす大きな要因となっている。脆弱性管理はどうすれば効果を発揮するのだろうか?--

Deraison氏: 第一は、システムの維持という運用管理の基本に徹することだ。これまで、セキュリティ企業は、ファイアウォールやIDSなど、すべての問題を一気に解決できる特効薬を求めてきたが、実現していない。

われわれは、システムを維持するというベーシックディフェンスこそが、最も効率の良い対策と考えている。はいえ、企業は多くのシステムを利用しているので、難しいことだと思う。そこでこの1年間、われわれは企業が優先して対処すべきリスクを把握できるシステムを作ってきた。

もう1つのカギがオートメーションだ。世界中でセキュリティの人材が不足しているので、われわれは他のセキュリティプラットフォームと連携できるようにすることで、自動化を支援している。