Tenable製品を活用したセキュリティ脆弱性管理のご紹介

1.はじめに

インフラのセキュリティ診断ツールを提供する企業として世界的にメジャーなTenable社。
このTenable社が提供するTenable製品には、企業のセキュリティ脆弱性管理を効果的に運用出来る多数の機能が含まれています。

本コラムでは、特に企業等で脆弱性管理業務を担当する方向けに、Tenable製品の中でもネットワークの脆弱性診断で使われるTenable.ioを主体に、脆弱性管理の考え方をエッセンスとしてご紹介いたします。

なおこの内容は、2022年7月28日に行いましたTISセキュリティキャラバンのセミナーで講演されたものを抜粋したものです。
このセミナーは、事前登録いただいたお客様のみのクローズ型セミナーですが、当日ご出席できなかった方々にも本セミナー内容紹介の機会をご提供出来ればと考え、このたびコラム記事として再編集してお届けします。
この時のセミナー講演者は、Tenable Network Security Japan株式会社セキュリティエンジニア　阿部 淳平様。
そしてモデレータはTIS脆弱性診断グループ責任者の蔵本秀樹です。
蔵本は本セミナー以外にも、TISセキュリティキャラバン（セミナー）にて多数の講演のモデレータを担当しており、TIS脆弱性管理のエバンジェリストでもありますので、本コラム後半で少し本人の紹介をさせて頂きます。

2.脆弱性管理の5つのポイント

本セミナーでは、脆弱性管理業務を担当する、主に情報システム部門のセキュリティ担当者向けに、下記の5つの側面から脆弱性管理のポイントをご紹介しました。
下記のテーマに沿って内容をご紹介します。

①アタック・サーフェイスの拡大とセキュリティ対策

脆弱性への攻撃を予防すべきアタック・サーフェイスは拡大し、従来のようにサーバの脆弱性対策だけを考えていればよい時代は過ぎました。
一般的な攻撃手法としてはランサムウェア、標的型攻撃などが挙げられますが、ほとんどの侵入・侵害の背景には「既知の脆弱性」への攻撃となります。
したがって企業のセキュリティ対策は脆弱性に対する管理が大半を占めるほど重要です。
しかし企業のセキュリティ要員数を見ると一朝一夕には増えず、一方、クラウドやIoTの普及により企業のアタック・サーフェイスは拡大し、それに比例して膨大な量の脆弱性に対処が求められます。
このことから今後は、少ない要員でいかに効率的に脆弱性管理を行うかがポイントとなってきます。

また、モデレータの蔵本から「情報資産の管理者が把握していない機器（シャドーIT）のセキュリティ脆弱性が昨今課題となっているが、それをTenable製品で見つけ出せるか」という質問があり、Tenable社阿部様から、「Tenable.asmにより企業のIT資産をマッピングし、アタック・サーフェイスの把握が可能になる」との回答がありました。
日頃把握している管理対象機器以外も含め、脆弱性の管理対象としていく必要があることを改めて認識させられました。

② 脆弱性管理の基本

ここでは日頃のお客様との接触からTenable社が把握している、企業の脆弱性管理業務に対する４つの課題をご紹介いたします。

一つ目は「アタック・サーフェイスの盲点」です。
企業では、現場部門などが利用する外部のクラウドや、その他の内部資産を情報システム部門が必ずしも可視化出来ていません。
しかしこの可視化が出来ていないと、それ以降に行う脆弱性対策に抜けが出てしまうことに繋がり、対策不徹底となってしまいます。
そのため管理対象以外の情報資産も含め、アタック・サーフェイス全体の脆弱性を管理していく必要があります。

二つ目は「脆弱性管理のオーバーロード」です。
脆弱性を発見し対処するなどの脆弱性管理業務を行う担当者の負荷は高いです。
脆弱性の数は膨大になる可能性も高く、その中から優先度高く対処すべきクリティカルな脆弱性を特定することもまた難しいため、脆弱性担当者は効率的に業務遂行が出来る環境が必要となります。

三つめは「経営陣へのリスクの伝達方法」です。
Apache Log4jなど著名な脆弱性ならまだしも、その他の脆弱性について経営者の理解度は低いです。
そのため、活動の主体は未然に対処する活動よりも、脆弱性が出た事後となるケースが多くなります。
その結果として、脆弱性対策に対するセキュリティ人材の配置要員は依然として少なく、脆弱性診断ツールの購入に関しても決裁上の障壁となっています。
したがって脆弱性管理担当者は、経営層に脆弱性対策の必要性を効果的にアピールする手段が求められます。

四つ目は「オープンループプロセス」です。
企業において、脆弱性を発見し未然に対処するといった定期的タスクをプロセスとして回せていない企業が多いと指摘がありました。
そのプロセスを容易に回せるような支援機能が求められます。

③ 脆弱性の検出

インフラのセキュリティ診断ツールTenable.ioに採用されている、スキャンエンジン「Nessus」の脆弱性検出方式についてご説明を頂きました。
世の中一般の脆弱性検出方式には、「突合方式」と「スキャン方式」があります。

突合方式は、企業のCMDB（構成管理データベース）と脆弱性情報を突合させて脆弱性を検出する方式です。
突合により多数の脆弱性を検出出来ますが、脆弱性担当者は優先度が不明な多数の脆弱性を扱う必要が生じるため、脆弱性管理業務を行う情報としては、そのままでは不十分です。
現場部門としては本質的に過検知状態となり、実際には脆弱性管理の運用業務が回らないケースも多くあります。
そのため、スキャンエンジン「Nessus」ではスキャン方式を採用しています。
日々グローバルに発見される最新の攻撃手法をプラグインという名称のシグネチャを使って脆弱性として検出し、どのくらい危険な脆弱性であるかをベースに脆弱性を抽出する方式です。
脆弱性担当者が本当に優先すべき脆弱性を認識できる形で検出されます。したがって、少ない脆弱性担当者数で効率的に脆弱性管理業務が遂行できるように配慮されています。

④ 内部スキャンと監査スキャン

スキャンのかけ方として、内部スキャン（クレデンシャルスキャン）と監査スキャン（ノンクレデンシャルスキャン）の2つの方法をご紹介いたします。
Tenable.ioではその両方に対応し、内部スキャン（クレデンシャルスキャン）は脆弱性スキャンをする対象機器にログインしてスキャンするタイプです。
また、別にagentタイプの検出方法も用意されています。
監査スキャン（ノンクレデンシャルスキャン）は、ポートスキャンなど外部（攻撃者）目線から発見可能な脆弱性を検出する方法です。
利用者のネットワーク環境等に応じて、スキャンのかけ方が選択可能となっています。

⑤ リスクベース脆弱性管理

脆弱性管理の考え方として、Tenable社ではすべての脆弱性に対処するのは現実的ではなく、リスクの高い脆弱性のみにスポットを当てていくべきとしています。
脆弱性を管理すべき対象の情報資産は多く検出される脆弱性も多いため、その中で本当に脅威となるものから対処されるべき、という考え方です。
従来ですとCVSS（緊急度を汎用的な評価手法で標準的な形で指標化したもの）でリスク判定するのが一般的ですが、Tenable社では、VPR（Vulnerability Priority Rating）とACR（Asset Criticality Rating）というリスクベースで脅威度を判定する考え方を採用しています。
VPRは「脅威の状況に合わせてリスクを変動する」という考え方で、ACRは「資産の価値に応じて、組織としてのリスクを算定する」というものです。
これを組み合わせることで、柔軟に脆弱性のリスク算定が行える点がユニークです。
さらにこのリスクを他社のリスク値と比較しながら客観的に情報が提示されるので、自社のリスク状況を把握しやすいという機能も提供されています。

3.おわりに

Tenable製品を活用することで、企業が抱える脆弱性管理に潜む課題を低減し、プロアクティブな脆弱性管理の実現に貢献します。
企業のアタック・サーフェイスの拡大と対処すべき脆弱性の増加に対し、少ない脆弱性担当者が効率的に脆弱性プロセスを回す運用業務をTenable製品の活用により実現できます。
そして他社と比較した自社の脆弱性リスクを可視化して経営層に伝達できるので、企業の事業発展に寄与することが可能となります。

本コラムでは、少ない紙面上でのご紹介ですので、ご不明点ありましたらTISまでお問合せ下さい。
またTISのソリューション全般につきましては下記サイトでもご紹介しております。

TISプラットフォームサービス | TIS株式会社

COPYRIGHT 2021 TENABLE, INC. ALL RIGHTS RESERVED. TENABLE, TENABLE.IO, NESSUS, ALSID, INDEGY, LUMIN, ASSURE, AND LOG CORRELATION ENGINE ARE REGISTERED TRADEMARKS OF TENABLE, INC. OR ITS AFFILIATES. TENABLE.SC, TENABLE.OT, TENABLE.AD, EXPOSURE.AI, AND THE CYBER EXPOSURE COMPANY ARE TRADEMARKS OF TENABLE, INC. OR ITS AFFILIATES. ALL OTHER PRODUCTS OR SERVICES ARE TRADEMARKS OF THEIR RESPECTIVE OWNERS.

モデレータ　蔵本秀樹のご紹介

TIS脆弱性診断のエバンジェリスト　蔵本秀樹

上述のセミナーでは、モデレータとしてTISの蔵本秀樹が担当させて頂きました。
今後も各種セミナーに登場させていただく予定です。
実はユニークな経歴を持っている人物なので、この機会に少し紹介をさせてください。

蔵本秀樹
1974年12月生まれ、福岡県香椎浜出身
家族構成は妻、3児の父親で、趣味はアウトドア（ボーイスカウトのリーダー15年）、料理です。
特技は、自然の中をどこまでも行けるくらい散策するのが好きで、誰も知らないカブトムシ大量発生場所を見つけたこともあるほど。

職歴としては、学生時代（2000年以前）にフリーランス（個人事業主）として社会人デビューしたところから始まります。
独学でセキュリティを学び、個人事業主としてIT企業と契約を結び働き始めました。
当時の仕事は、顧客のセキュリティコンサル、セキュリティ教育、脆弱性診断を受託・提供していました。
このフリーランスで働くという過程から、個人のスキル如何で自由に働けて高収入が得られることを経験し、以後10年以上フリーランスとして活動したという経歴を持ちます。
その後2008年にTISの関係会社ソラン社に誘われて入社し、ソラン社がTISに吸収合併され、TIS社員へ至っています。

現在の業務は、TIS脆弱性診断グループの責任者で、特にPCI DSSに準拠した脆弱性診断（ASV）を専門分野にしています。
TIS脆弱性診断グループの責任者として現在力を入れている点は、セキュリティ要員育成とのこと。セキュリティエンジニアが非常に枯渇している市場環境を憂い、脆弱性診断士やセキュリティコンサル要員として必要な技術的スキル習得を重視するマネジメントを行っています。
特にグループ内個々人のキャリア形成を踏まえて、業務アサインする事を大切にする信条の持ち主です。

将来の願望は、セキュリティ業界の人材雇用形態に対する改革をしたいということ。
本人も実現がいつになるかわからないとしながらも、次のような社会を作り出したいという気持ちがあります。
「個人個人が、自身の考えるキャリア形成に適した業務を選択できる社会を作りたい。その時々でキャリア形成に必須なセキュリティスキルを習得可能な業務を選択し、その業務を行える企業と、ハードル低く雇用契約できる仕組みを創出したい。」
言い換えると、従来のように個人は企業に入社しその中で与えられた業務に従事するのではなく、個人が主体となって自身がやりたい業務を選択し、その業務を提供可能な企業とその時々で雇用契約を結ぶ、という本人のキャリア形成が主軸とする職業選択の自由が保障された社会を創出したい。
蔵本が育成した後輩にそのような環境で、もっとセキュリティ業界を盛り上げてもらいたいという思いを持っています。

最後に、蔵本から後輩に一言。
「どんな苦労も必ず糧になるので、どんなことにも一生懸命取り組んでほしい。語弊を恐れずに言うと、やりすぎるくらいがちょうどいい。」