CISO
脆弱性診断を着実に進めるためのガイド
2019-12-06
カテゴリー CISO | インフラストラクチャー保護
記事をシェアする:
脆弱性診断をどのように進めればいいのか、よくわからないと感じているセキュリティー担当者もいることでしょう。特に自動的に作成されたレポートをもとに脆弱性を診断する必要がある場合、そう思う担当者がいても不思議ではありません。しかし、脆弱性診断を進めていくプロセスそのものに価値があると言えるでしょう。
診断結果から判明する情報に加え、そのプロセスそのものが潜在的なサイバーセキュリティーの脅威 に対する戦略的な視点を得るための絶好の機会となります。しかし、脆弱性診断から真の価値を得るには、まず何をどのように進めればいいのかを理解する必要があります。
脆弱性診断を行うための4つのステップ
ここでは、自動化されたツールまたは手動のツールを使用して効果的な脆弱性診断プロセスを始めるための4段階の手法を紹介します。
1. 初期診断
資産を特定し、セキュリティー評価脆弱性スキャナーなどを使用して、(クライアントの提供する情報に基づいて)デバイスごとにリスクと限界値を定義します。少なくとも、使用中のネットワーク上のデバイスか、テスト予定のデバイスの重要性を特定することが重要です。また、そのデバイスは、会社のメンバーであれば誰でもアクセスできるのか (共有のコンピューターやキオスクなど) 、あるいは管理者または特権ユーザーのみがアクセスできるのかを理解することも重要です。
戦略的な要因を把握したうえで、以下のような詳細を明確に理解しておきます。
- リスク選好
- リスク許容度
- デバイスごとのリスク緩和対策とポリシー
- 残存リスクの扱い
- デバイスまたは(サービスがそのデバイスと相関関係がある場合には)サービスごとの対策
- ビジネス・インパクト分析
2. システム・ベースライン定義
2番目のステップとして、脆弱性診断の実施前にシステムに関する情報を集めます。少なくとも、そのデバイスにオープンにするべきではないポート、プロセス、サービスがあるかどうかを確認します。また、承認済みのドライバーとソフトウェア(デバイス上にインストールされていること)および各デバイスの基本構成(そのデバイスが周辺デバイスである場合、デフォルトの管理者ユーザー名が設定されていないこと)について理解しましょう。
バナー・グラブを試行するか、ベースラインの設定に基づいてどういった種類の「公開」情報にアクセスできるはずかを調べます。デバイスはログをSecurity Information and Event Management(SIEM)に送信するか?少なくともログは中央リポジトリーに保管されるか?デバイスのプラットフォーム、バージョン、ベンダー、その他の関連情報に関する公開情報と脆弱性を収集します。
3. 脆弱点スキャンの実行
3番目に、期待する結果を得るため、スキャナーに対して適切なポリシーを使用します。脆弱点スキャンを開始する前に、会社や事業状況に基づき、コンプライアンス要件 がないか確認し、スキャンを実行する最適な日時を把握します。企業の属する業界背景を理解して、スキャンをすべて一度に実行できるのか、あるいは分割して実施する必要があるかを判断することが重要です。脆弱点スキャンを実行するためのポリシーを再定義し、承認を得るのが重要な手順です。
最適な結果を得るため、脆弱性診断プラットフォーム上で次のような関連するツールとプラグインを使用します。
- Best Scan(一般的なポート)
- CMS Web Scan(Joomla、WordPress、Drupal、汎用CMSなど)
- Quick Scan
- Most Common Ports Best Scan(65,535ポート)
- Firewall Scan
- Stealth Scan
- Aggressive Scan
- Full Scan、悪用および分散サービス妨害 (DDoS) 攻撃
- Open Web Application Security Project (OWASP) Top 10 Scan、OWASP Check
- Web アプリケーションのPCI DSS(クレジットカード業界のセキュリティ基準)対応
- HIPAA(医療保険の携行と責任に関する法律)ポリシーの準拠性スキャン
最適な結果を確実に得るため、重要な資産に対して手動のスキャンを実行する必要がある場合、より適切に詳しく脆弱性を診断できるよう、必ずスキャナーの設定で資格情報を設定するようにしてください(資格情報がチームで共有されている場合)。
4. 脆弱性診断のレポート作成
最も重要な4番目のステップは、レポート作成です。詳細まで注意を払い、推奨段階毎に特別な価値を付加するようにします。最終レポートから真の価値を得るため、最初の評価目標に基づいて推奨項目を加えます。
また、資産の重大性と結果に基づき、リスク緩和方法を追加します。結果とシステム・ベースラインでの定義との間にギャップがあれば、関連する調査結果(不適切な設定や検出における偏差)および偏差を修正して可能性のある脆弱性を緩和するための推奨項目を追加します。通常、脆弱性についての診断結果は非常に有用であり、診断結果を確実に理解できるような順序で並べられています。
ただし、高および中レベルの脆弱性には、以下の詳細項目を含む詳細レポートがあると認識することが重要です。
- 脆弱性の名前
- 検知した日
- 共通脆弱性識別子 (CVE) データベースに基づくスコア
- 脆弱性の詳細な説明
- 影響を受けるシステムに関する詳細
- 脆弱性の修正プロセスに関する詳細
- システムの脆弱性の概念検証 (PoC)(可能な場合)
- 脆弱性の所有者の空のフィールド、修正にかかった時間、最終的な解決策までの次の改訂と対策
脆弱性を診断する際にこの基本リストを活用することで、プロセスのすべての側面におけるセキュリティー状況の完全な理解が推奨段階で反映されるようになります。また、ほとんどの場合で、単なるコンプライアンス・ツールの適用よりも良い結果を生み出します。
【著者紹介】
Kenneth Gonzalez は、IBMのSecurity Intelligenceアナリストです。
【関連情報】
データベース内のセキュリティー脅威とギャップを特定する IBM Guardium Vulnerability Assessment
世界最高峰のサイバーセキュリティー特殊部隊チーム IBM X-Force Red Vulnerability Management Services (英語)
【お問い合わせ】
メールでのお問い合わせはこちらから
この記事は次の記事の抄訳です。
DXとニューノーマル時代に即したセキュリティー・アーキテクチャー「SASE」とは?
理想的なセキュリティー・アーキテクチャー「SASE」の構成とそのメリットとは 企業のクラウドサービスを利用したデジタル・トランスフォーメーション(DX)に加え、2020年初頭からのCOVID-19回避のためのテレワークが […]
急速なテレワーク環境の拡大と残されたセキュリティー課題
テレワークセキュリティーの確保が急務 時間や場所を有効活用した就労・作業形態による企業価値の向上や、働き手個々人がそのライフスタイルに応じた柔軟な働き方を選択するための手段としてのテレワークの活用が、主にこれまで政府の提 […]
【事例】大手商業銀行、IBM X-Force Redの侵入テストを採用し、犯罪組織の手法を特定
IBM X-Force Red の侵入テストが、犯罪組織によるATM からの現金の盗難方法の特定に貢献 この銀行は、自社の広範なネットワーク内のATM にセキュリティー侵害が発生していることを検知した際に、IBM X-F […]