技術者が語るサイバーエクスポージャーのすすめ(4) IoT機器の継続的なリスク可視化 - スイッチやルータをスキャンしてみた

IoTデバイスやプリンタなど、企業内のIT機器のうちスキャンをかけられたくはないデバイスは一定程度存在する。こうしたIT機器をパッシブでスキャンするのがTenable.ioのNessus Network Monitor(以下NNM)である。NNMの特徴は大きく二つある。対象端末やネットワークに一切の負荷をかけずにスキャン出来ることと、リアルタイムに情報を収集出来ることである。今回はこのNNMを実際に設定しパッシブスキャンを行なってみる。まず、NNMを配置するにあたり、下図にある通り、スイッチやルータのミラーポートからトラフィック情報をミラーリングする必要がある。

次にNNMのイメージを入手し配置するのだが、今回はTenable Coreと呼ばれる仮想アプライアンスをデプロイすることにする。なお、NNMのソフトウェアをLinuxやWindows等にインストールして使用することも可能だ。Tenable Coreをデプロイし、DHCP経由で取得したIPアドレスに対してブラウザアクセス(https://[NNMのIPアドレス]:8835)すると、NNMの初期設定画面が表示される。

今回NNMはTenable.ioへ接続させるため、Activation CodeにCloudと入力し、Cloud KeyにTenable.ioから取得したLinking Keyを入力すれば設定完了だ。この操作により、NNMはTenable.ioからコントロールされることになり、NNMで取得したスキャン結果はTenable.ioへ自動的に送られることになる。

それではNNMの管理画面へログインしてみよう。

初期状態では当然データがない状態だが、しばらく放置しておくとNNMが自動的にパッシブスキャンを行い結果が蓄積される。今回の環境には30台の端末が発見され、Apache Struts 2の脆弱性やOpenSSHの脆弱性が発見された。

また、これらNNMで取得したデータはTenable.ioへ自動的に送られるため、Tenable.io上でも同様の結果を確認可能だ。

以上見てきたように、Tenable.ioのNNMの機能を用いることでスキャン対象端末に対してアクティブなスキャンをかけずとも脆弱性情報等が取得可能になることがお分かりいただけただろう。

次回はパッシブ型のスキャナである Container Securityについてご紹介したい。