ここ数十年のテクノロジーの進化と並行して、システムの安全保障と保護に使うツールやテクニックも進化しました。考えてみると、データの保管、伝送、処理のテクノロジーの普及と同時に、そのシステムを破壊して悪用しようとする者が現れ、攻撃者はその存在感を強めてきました。

ですから企業も、セキュリティに対する取り組み方を進化させなければならず、セキュリティと運用との整合性をとる必要がありました。これは、どのような産業や規模の企業にも共通することです。

セキュリティツールのベンダーは、絶えず新製品を開発・提供してIT環境の安全確保に新風を吹き込もうとしていますが、サイバーハイジーン(衛生)やセキュリティの中核原則を反映したベストプラクティスに重点を置くことは、依然として防御体制の最も強力な戦法です。企業が利用しているツールやテクノロジーの進化には目覚ましいものがある一方、セキュリティ担当チームは、最も重要で長年の実績のある、基礎的なセキュリティ慣行を踏襲する必要があります。その慣行が、脆弱性管理です。

「脆弱性管理」という言葉を聞いて、「今でも有効なのだろうか」と思われるかもしれません。その場合、今でも脆弱性管理のことを、セキュリティチームが過去20年間行ってきたWindowsやLinuxシステムにおいてパッチが当てられていない場所を検出するネットワークスキャンと捉えている可能性があります。確かに20年前は、それで正しかったかもしれません。しかし、テクノロジーの急速な進化に伴って、脆弱性管理も時代と共に進歩したのです。

IT環境と共に進化した「脆弱性管理」

今日のIT運用環境は、単独のデータセンターの十分にコントロールされた環境下で、専用のサーバがラックに積み重ねられているような世界ではありません。また、サーバにしても、設定やソフトウェアのインベントリ、ネットワークのステータス、その他のクエリに対して的確に応答可能な、従来の堅牢なオペレーティングシステムを実行しているわけではないので、システムを攻撃の標的に変えてしまう脆弱性や設定ミスを完璧に検出することは不可能です。

現代の企業が運用しているのは、世界各地に置かれている多数のデータセンター、クラウドベースのインフラ、アプリケーション、仮想プラットフォーム、サービス、その他を網羅する分散型のハイブリッドネットワークです。簡単に言えば、どの企業も、現代ほど多くの種類のテクノロジーや資産やサービスを活用した経験はありません。

しかも、その一つ一つが何らかの攻撃や脅威に対して脆弱なのです。単にパッチを適用していないことが原因で生じる悪用可能な脆弱性を抱えているだけでなく、はるかに多くの多種な脅威に対して脆弱です。例を挙げて説明しましょう。

  • Webアプリケーションは、SQLインジェクションやクロスサイトスクリプティング (XSS) を悪用した改ざん攻撃を受けやすく、侵害されたアプリは、機密データを流出したり、不正なブラウジングを可能にしたりします。

  • 基幹インフラのネットワークで使われるOT(オペレーショナルテクノロジー) のデバイスには、パッチを当てないことによる問題はあまり生じません。しかし、設定ミスがあれば、家庭で「電気が付かない」「断水する」などの障害を起こすリスクがあります。

  • 最新のクラウドテクノロジーも、攻撃者たちはさまざまな抜け穴を発見して悪用することができます。設定ミス、システムポリシー適用の不備、不適切なアクセス管理や権限がクラウドインフラ、コンテナ、その他のデプロイメントアーキテクチャ全域に実装されていることなどが、不正侵入の切り口になりえます。

言い換えれば、企業には非常に多くの種類の資産があり、それらが同時に多くの潜在的な脆弱性であるため、攻撃者にとっては、企業のアタックサーフェスにアクセスするオプションとテクノロジーがいまだかつてないほど増えたということです。

これが、脆弱性管理が最重要セキュリティ慣行として進化した理由です。現在の脆弱性管理は、単に「パッチの有無をスキャンする」だけではなく、適切なツールとセンサーを組み合わせて、安全かつ確実に、企業にとってリスクとなりうるさまざまな種類の脆弱性を各資産タイプで評価します。

もちろん、そのような評価は膨大な量の異なるデータを返すので、どれが本当の露呈を示していて解決が必要なものなのか、どれが今すぐ対処する必要がないものなのか、判断は難しくなります。

リスクを基準として判断するシステムに進化

現代の脆弱性管理プログラムは、攻撃や悪用の実例に関する膨大な脅威インテリジェンスを盛り込んでいます。したがって、ユーザー企業のリスクの状態についてはるかに詳しい文脈を提供して、ユーザーにとって重要な事柄と組み合わせることができます。単に脆弱性の有無を判断していた過去の脆弱性管理とは大きく異なり、リスクを基準として判断するシステムに変化したのです。

セキュリティ担当者は脆弱性管理を行うことで、環境全体の真のセキュリティ体制を把握できるばかりでなく、脆弱性相互の関係性がどのように露呈のリスクを生み出すのかを理解して、適切な種類の文脈を参考にして事業にとって最大のリスクとなる問題に集中できるようになります。

このような発展をたどると、従来の脆弱性管理がエクスポージャー管理に進化したことが理解できます。エクスポージャー管理とは、あらゆる資産のあらゆる種類の露呈を特定して、適切なビジネス文脈に基づいて評価し、修正の優先順位を付けて企業のセキュリティ対策を躍進させる仕組みです。企業は、情報漏洩から身を守り、全体的なリスクを軽減し、アタックサーフェス全域で攻撃されるおそれが潜在する標的の数を減らすことができます。

エクスポージャー管理は、当社が何年も前に創業したころに実行していた脆弱性管理のリブランディングではありません。この慣行は、正しいリスク管理とビジネスイネーブルメントの機能に進化し、すべてのセキュリティプログラムの必須で基本的な要素として確固たる位置を維持しています。

では、テクノロジーがまた進化したらどうなるのでしょう。エクスポージャー管理も後れをとらずに進化します。必ず企業内のリスクを最もよく理解できるツールとテクニックを備え、IT 環境のセキュリティに必要なコントロールの実行方法と対象についてよりよい意思決定を可能にするでしょう。

著者プロフィール


貴島 直也(きしま なおや)

Tenable Network Security Japan株式会社 カントリーマネージャー

アダムネット株式会社(現 三井情報株式会社)やEMCジャパン株式会社で主に金融担当営業および営業マネージャーを経て、EMCジャパンのセキュリティ部門であるRSAに執行役員として所属。GRCソリューションやxDRのビジネスの立ち上げ・拡大に従事、さらに韓国のゼネラルマネージャーも兼務。その後、RSAの独立に伴い執行役員社長としてRSAのビジネスの拡張を牽引。2021年4月より現職。日本企業のセキュリティマーケットの拡大およびチャネルアクティビティの実行を統括。