サイト内検索
サイト内検索を閉じる

Tenable Vulnerability Management 構築の勘所

はじめに

サプライチェーンリスクへの対応という言葉を聞くようになって時間が経ちました。
脆弱性診断を自分たちで実施することでサプライチェーンリスクを低減しようとする動きも非常に活発化してきたなという印象です。脆弱性診断を外部ベンダだけに任せず、自分たちで実施することで様々なメリットが生まれます。
自分たちが好きなタイミングで何回も脆弱性診断を実施できる、コストを抑えられるというのがメリットと考えられます。
導入にあたって、考慮するべき点や技術的に躓きやすいポイントを解説したいと思います。

まず最初に決めること

  • 外部(インターネット)または内部からの脆弱性診断、またはそのどちらも対象とするか
  • 認証スキャン、エージェントスキャン、非認証スキャン、どの検査方式を使うか
  • 年に何回実施するか

外部または内部からの脆弱性診断、またはそのどちらも対象とするか

Tenable Vulnerabity Mannagementの構成イメージ

もちろん、外部からも内部からも実施し、網羅的に脆弱性を洗い出すのがいいのですが、外部からの診断、内部からの診断も実施する場合では構築・運用時の複雑さがかなり変わってきます。
外部からの診断だけであれば、論点は、送信元からのアクセスをファイアーウォールでブロックするかくらいで短期に立ち上げが可能です。

内部からの診断も実施する場合は、内部にスキャナを設置することになるので、スキャナから対象のネットワークルート設計が必要になってきます。
しかしながら、もっとも大変なのが大量の脆弱性が検出されることです。外部へのオープンポートはほぼ443と限定されていますが、内部ではブロックされていないことも多く複数のオープンポートが検出されるため、それに伴い大量の脆弱性が検出されます。肌感覚では、外部に比べ10倍くらいは脆弱性が検出されます。
まずは、計画的に進められるのであれば外部診断から初めて、診断の方法、運用が固まってから内部診断へと歩を進めていくのがスムーズだと考えます。

評価基準

外部と内部で脆弱性の評価基準を検討する必要があります。不特定多数に晒されている外部に面した脆弱性は内部よりも対策の優先度は高くなります。外部も内部も同じ脆弱性基準を適用してしまうと脆弱性が大量に検出された場合に適切な優先度を割り振ることができなくなってしまい、脆弱性対処の運用が形骸化してしまう可能性が高まります。
以下の表はTenable社の脆弱性の危険度を参考とした基準ですが、外部診断の結果で脆弱度:高、脆弱度:中までは必須で対応、内部診断の結果では、脆弱度:高を必須とするケースが多いようです。

検出した脆弱性の基準例

認証スキャン、エージェントスキャン、非認証スキャン、どの検査方式を使うか

認証スキャンもエージェントスキャンもどちらも対象の詳細な情報を取得できますが、 認証スキャンでは、スキャナに対象のサーバの特権ID&パスワードを登録する必要があります。
エージェントスキャンは対象にエージェントをインストールをする必要があります。構築時にはどちらを採用するか決定する必要があります。
運用では、数十~数百と検出される脆弱性の対策を検討する必要があります。

年に何回実施するか

これも大きく運用に影響します。
上記で説明した診断の運用を回数分実施しないといけません。PCI DSSでは年に4回の実施を求められていますが、かなりハードな印象です。
不特定多数に晒されている外部に面した対象は年に4回以上のペースが必要なことは想定しやすいですが、内部は診断を想定して構成されていないケースも多く、また脆弱性も多く検出されるケースが多いため、運用・保守担当者の方からはあっという間に次の診断がやってくるというお言葉をいただきます。診断結果を見て、対策が必要な脆弱性を選定する(一ヶ月)、影響度調査を実施する(一ヶ月)、修正パッチを適用する(一ヶ月)で、三ヶ月経ってしまいます。

どのようなポリシーで診断をするか

診断方法の大きなところが決まれば後は、診断毎のポリシーを決めていきます。
診断のポリシーを決める上ではTenable Vulnerability Manegementの大まかな動きを理解しておくと設計がしやすいと思います。

おわりに

脆弱性診断をはじめられた皆様がまず口に出されるのが、こんなに脆弱性が検出されるのか、どこから手を付けていいのかわからない、です。想定以上に大量に脆弱性が検出されるようです。
脆弱性検出の仕組みを構築して終わりではなく、検出した脆弱性を対処できる仕組みまでができてから完成です。
それには様々な検討も必要ですがまずはやってみることも大事だと思います。ミニマムのケースを構築して、徐々に拡大していくやり方が早いように感じます。

TISが採用している診断ツールや運用方法の導入により、時間や外部委託先の都合に縛られずに自社で脆弱性診断を実行することが可能になります。
これにより、システムのセキュリティ状況の把握と、最優先で対処すべき脆弱性の対応が可能になります。

TISはお客様との伴走を第一に考えております。本コラムがお客様のセキュリティ維持、さらには強化に一役買えれば幸いです。

著者

井旗 隆人
TIS株式会社
IT基盤技術事業本部 IT基盤サービス事業部 セキュリティサービス部
チーフ

PAGE TOP

サービスに関する資料をご希望の方は、フォームに必要事項を入力いただき、ご送信ください。

資料を請求する

お問い合わせ
各種お問い合わせページ
お問い合わせフォーム
サービスに関するお問い合わせ
お電話
0800-600-9810
携帯電話
050-5816-9805
受付時間 9:00~12:00 13:00~17:00(土・日・祝日を除く)

更新日時:2024年11月1日 15時32分