デジタル・トランスフォーメーションがセキュリティにも影響 - 求められる脆弱性可視化による新たな継続的アプローチ

デジタル・トランスフォーメーションの進展で守るべき対象が急増

現在、世界中の企業の間で加速しつつあるデジタル・トランスフォーメーションは、セキュリティの世界にも大きな影響を与えている。なぜならばデジタル・トランスフォーメーションを進めるなかで、企業においてモバイル・デバイス、Webアプリケーション、パブリッククラウド、IoT機器など、新たなサービスやデバイスが利用されるようになり、守るべきポイントが増大しているからである。たとえばIoTに関して見てみよう。情報通信研究機構(NICT)が今年2月27日に公表した「NICTER観測レポート2017」(※)によると、NICTERプロジェクトの大規模サイバー攻撃観測網で2017年に観測されたサイバー攻撃関連通信は、2016年と比べて約1.2倍と依然増加傾向にあるとともに、マルウェアに感染したWebカメラやモバイルルータなどIoT機器からの通信が半数以上を占めることが明らかとなった。さらに、NICTが詳細な分析を行った結果、IoT機器への攻撃手法が高度化してきていることも判明している。

(※)国立研究開発法人情報通信研究機構
出展： 出展：NICTER観測レポート2017の公開

攻撃のトレンドに関わらず、注目すべきは既知の脆弱性

このようにデジタル・トランスフォーメーションの進展は、守るべきポイントを増加させ、それがサイバーセキュリティ上のリスクの増大にもつながっているのである。では企業はこうした新たなセキュリティの課題にどのように対処すべきだろうか。ここで注目したいのが、標的型攻撃にせよランサムウェアにせよ、そして企業のサーバーを狙った攻撃にせよクラウドやIoTデバイスを狙った攻撃にせよ、攻撃手法の種類や新旧、攻撃対象を問わず、そのほとんどが既知の脆弱性を突いたものだという事実だ。巷で一部騒がれているゼロデイ攻撃といわれる攻撃は、実は全体の0.数%に過ぎない。攻撃者にしてみれば、自分自身で新たな脆弱性を見つけて攻撃することなどコストや手間の面からも現実的ではないのである。そのため現在の攻撃者のほとんどは、脆弱性情報がリリースされてから対処に数ヶ月もかかっている組織を狙ってくる傾向にある。

また、ベライゾン社(※)のセキュリティレポートによると、何万と存在する脆弱性のうち実際に攻撃の対象になっているのは5%未満に過ぎないことが判明している。つまり全体の5%未満の脆弱性にさえ対処しているだけでも多くの攻撃を防げるということになる。特にトップ10の脆弱性に対処することで、アクティブな攻撃の85%を防げるとされているのだ。

(※)Verizon
出展： 2017年版データ漏洩/侵害調査報告書

このような攻撃側の実態を踏まえれば、必要となる対策も自ずと見えてくるのではないか。それはつまり、モバイル・デバイス、Webアプリケーション、パブリッククラウド、IoT機器などすべてのポイントに潜む脆弱性を可視化し、日頃からリスク管理を施すというアプローチである。それさえしっかりできていれば、いかなるポイントを狙ったどんな攻撃であっても、そのほとんどを未然に防ぐことが可能となるはずなのだ。

脆弱性スキャナのデファクトスタンダード「Nessus」

脆弱性の可視化といえば真っ先に挙げられるのが、Tenableが提供するマルチプラットフォーム対応の脆弱性スキャナ「Nessus」だろう。Nessusは現在まで世界中で20,000以上の顧客と10,000,000件のダウンロードという実績を有するネットワーク業界で最も広く知られたネットワーク機器の脆弱性検出とシステム機器構成評価用のソフトウェアである。スキャン時間指定やスキャンポリシーの選択を任意に行うことにより、業務に影響を及ぼさない時間で効率よくネットワーク機器の脆弱性スキャンを実行することが出来るのが特徴だ。また、ネットワーク内部より対象製品のスキャンを実行するだけではなく、ネットワーク外部より対象製品にスキャンを実行することも可能となっている。

• 脆弱性スキャナ Nessusの操作画面

Nessusは指定したサーバーに対しポートスキャンや擬似的なアクセスなどを行うことで、サーバーに存在する脆弱性を調査する。対象とするサーバーが使用しているソフトウェアに既知の脆弱性がないかどうかを調査できるほか、設定ミスや脆弱なパスワードの存在なども確認できる。また、さまざまな形式で詳細なレポートを生成できるうえ、WindowsおよびMac OS X、Linux、FreeBSD、Solarisというマルチプラットフォームで動作するのも特徴となっている。さらに、Nessusの脆弱性チームが豊富な経験や知見を有しており、さまざまなプラットフォームで新しい脆弱性を発見すると製品に反映し、24時間以内に診断可能にしているのである。

Nessusであっても十分ではない!

このように脆弱性の可視化において他社製品を圧倒するNessus。しかしこのNessusをもってしても、今後求められる脆弱性を可視化したうえでの自社主導による新たなセキュリティ対策を実現するには残念ながら不十分なのだ。その理由については本連載の第2回において言及することにしたい。

[PR]提供：Tenable Network Security Japan