攻撃者主導のセキュリティ対策から決別を!(2) 脆弱性可視化によるセキュリティの新たなアプローチにNessusではダメな理由とは?

Nessusであっても十分ではない!

デジタル・トランスフォーメーションの進展により企業にとって守るべき対象が拡大するなか、"既知の脆弱性の可視化"がセキュリティにおける最新のキーワードとなっている。そこで注目されるのが、世界中で20,000以上の顧客と10,000,000件のダウンロードという実績をもつ、Tenableが提供するマルチプラットフォーム対応の脆弱性スキャナ「Nessus」だということは前回紹介した。しかし、脆弱性スキャナのデファクトスタンダードである「Nessus」をもってしても、これから必要となる、脆弱性の可視化を前提とした自社主導による新たなセキュリティ対策を実現するには十分とはいえないのである。

その理由の1つとして、Nessusはセキュリティコンサルタントが定期的に診断するためのツールであることが挙げられる。そのため、自社のITスタッフや経営層が日々直感的に脆弱性やリスクを知ることは難しいのだ。詳しくは後述するが、これからはITスタッフにせよ経営層にせよ、従来ながらの"攻撃側主導"の"いたちごっこ"のセキュリティ対策からは脱却しなければならないのである。

しかしながら、そのために必要となる、脆弱性の可視化を前提とした新しいセキュリティ対策を行うためには、自社のリスクがどこに存在するかを把握し、しっかりと管理することが不可欠となる。脆弱性を突いた攻撃により機密情報が万が一流出すれば、コストでははかれないほどの莫大な損失をもたらすおそれがあるのが現状なのだ。また自らに潜むリスクの内容を知っているかどうかで、万が一インシデントが生じた際の対応スピードも違ってくるだろう。

このような状況を踏まえれば、自社の脆弱性を把握しておくことがいかに重要であるかおわかりいただけるだろう。特に経営層が組織の脆弱性を把握していれば、インシデントがおきた際の意思決定、対応がスムーズになる。これからは経営層自らが「守るべき資産はどこにあるか」「優先されるべきリスクは何か」「リスクをどのように測定して対処すべきか」といった事柄を日々計測・管理しておかねばならないのだ。

しかしNessusでは、これができない──。

さらに、進むデジタル・トランスフォーメーションによる保護すべきポイントの拡大は想像以上であり、もはやNessusだけでカバーできる範囲を超えてしまっていることも"Nessusではダメ"な理由の1つだ。具体的には、高度なWebアプリケーションやコンテナ技術、IoT機器を対象に脆弱性を可視化することがNessusではできないのだ。

くわえて、昨今はゼロデイアタックならぬ「ワンデイアタック」と呼ばれる、存在が公開されてから何ヶ月も経っている脆弱性を突く攻撃が増えているが、過去に遡ってNessusで脆弱性診断を行い、その対処を行うというのは到底現実的ではない。そのため、サイバーリスクを影響度とリスクの許容度で視覚化し対策の優先順位付けする「サイバーリスク管理」という発想が必要となってくるわけだが、セキュリティの専門家のみが使用することを前提としたNessusでは、この用途でも十分とはいえないのである。

攻撃者主導の既存のセキュリティ対策が限界に

ではここで、前にも少し触れた、従来ながらの攻撃者主導のセキュリティ対策からなぜ脱却しなければいけないのかについて説明しよう。世界中でサイバー攻撃が激化しており、企業は情報資産を守り安定して事業を継続すべくその対策に追われているが、ここにきて既存のセキュリティ対策では十分な安全性の確保が難しくなってきているのである。その最大の理由こそが、従来のセキュリティ対策というのは不正アクセスやマルウェア、標的型攻撃など攻撃手法が先にあり、それらに対して対策を行うというアプローチが主流であったからだ。対策ツールとしては、ファイアウォールIDS/IPSやサンドボックスなどさまざまなものが存在しているが、ここ数年のサイバーセキュリティ上の脅威の筆頭である標的型攻撃にしても、対策方法が一般化すればさらにそれに対抗する攻撃手法が現れる、いたちごっこが続いており、セキュリティ担当者は疲弊が積み重なっているのが現状である。

このような攻撃側がリードするかたちのセキュリティ対策では、構造上どうしても、常に攻撃者が優位に立ってしまうことになる。これでは増大する脅威から完全に防御しきることは不可能となってしまうだろう。

そして前回から何度も取りあげているデジタル・トランスフォーメーションの加速による守るべきポイントの増大が、この状況に拍車をかけているのだ。

Nessusの利点をすべて"いいとこ取り"した脆弱性可視化ソリューション

では、脆弱性の可視化を前提とした新しいセキュリティ対策の実現がNessusですら不可能であるのなら何を用いればいいのだろうか──。その答えは、Tenableが提供する脆弱性可視化ソリューション「Tenable.io」の活用だ。Tenable.ioは、Nessusもコンポーネントの1つとして組み込まれているため、その脆弱性スキャナとしての信頼性をそのまま享受することができるプラットフォームだ。グローバルでの圧倒的な体制を誇るTenableの脆弱性チームも同じであり、新たな脆弱性が発見されてから診断可能とするまでのアップデートもほかと比べて断トツですばやく、ほとんどが24時間以内に反映される。

このようにNessusの優れた点はすべて"いいとこ取り"したうえで、ITスタッフや経営層をはじめ、自社に潜む脆弱性をダッシュボードなどで視覚的に誰でも把握可能とするのがTenable.ioなのだ。このTenable.ioの詳細と、Tenable.ioを用いて、自社のリスクを正確に把握し、正しく対策するためのアプローチについては、連載の最後に詳しく述べることにしたい。