公開日: 2023年12月15日
寄稿者: Matt Kosinski、Amber Forest
脆弱性スキャンは「脆弱性評価」とも呼ばれ、ネットワークやIT資産についてセキュリティー上の脆弱性、すなわち外部または内部の脅威アクターが悪用できる欠陥や弱点を評価するプロセスのことです。脆弱性スキャンは、より広範な脆弱性管理ライフサイクルの最初の段階です。
現在ほとんどの組織で、脆弱性スキャンはすべて自動化されており、セキュリティー・チームが確認できるように欠陥を発見してそれにフラグを立てる専用の脆弱性スキャン・ツールによって実行されます。
IBMのX-Force Threat Intelligence Indexによると、脆弱性の悪用はフィッシングに次いで2番目に多いサイバー攻撃のベクトルです 。脆弱性スキャンは、セキュリティーの弱点がサイバー犯罪者によって武器化される前に、組織がセキュリティーの弱点を見つけ、解決するうえで役立ちます。そのため、Center for Internet Security(CIS)(ibm.com外部へのリンク)は、自動脆弱性スキャンを含む継続的な脆弱性管理をサイバーセキュリティー上重要な実務とみなしています。
セキュリティーの脆弱性とは、IT資産やネットワークの構造、機能、実装における弱点のことです。ハッカーなどの脅威アクターはこれを悪用して不正アクセスを取得し、ネットワークやユーザー、ビジネスに損害を与える可能性があります。一般的な脆弱性は次のとおりです。
- コーディング上の欠陥。ユーザー入力の処理方法が原因で、クロスサイト・スクリプティング、SQLインジェクション、その他のインジェクション攻撃の影響を受けやすくなっているWebアプリなど。
- 開かれていて保護されていないポート。サーバー、ノートPC、その他のエンドポイントにこれがあると、ハッカーがマルウェアの拡散に利用します。
- 構成ミス。アクセス許可が不適切なため、パブリック・インターネットに機密データを漏洩するようなクラウド・ストレージなど。
- パッチの欠落、脆弱なパスワード、その他のサイバーセキュリティー衛生上の欠陥。
毎月、何千という新しい脆弱性が発見されています。2つの米国政府機関、すなわち米国連邦情報・技術局(NIST)とサイバーセキュリティー・社会基盤安全保障庁(CISA)(ibm.com外部へのリンク)が、既知のセキュリティー脆弱性を検索できるカタログを管理しています。
脆弱性は発見されると詳細に文書化されますが、残念ながら、ハッカーなどの脅威アクターのほうが先に脆弱性を発見し、組織の不意を突いてくることも少なくありません。
こうしたサイバー脅威に接したときの事前対応力にすぐれたセキュリティー体制を確保する目的でITチームが導入するのが、脆弱性管理プログラムです。脆弱性管理プログラムは、ハッカーに悪用される前にセキュリティー・リスクを特定して解決する継続的なプロセスに従います。脆弱性スキャンは通常、脆弱性管理プロセスの最初のステップであり、ITチームとセキュリティー・チームが取り組む必要のあるセキュリティー上の弱点を発見しようとします。
次のような目的で脆弱性スキャンを使用しているセキュリティー・チームも少なくありません。
セキュリティー対策とセキュリティー・コントロールの検証—新しいコントロールの導入後、チームは多くの場合、もう一度スキャンを実行して、特定した脆弱性が解決されていること、修復作業によって新たな問題が発生していないことを確認します。
規制コンプライアンスの維持—脆弱性スキャンが明示的に義務付けられている規制もあります。例えば、Payment Card Industry Data Security Standard(PCI-DSS)は、カード会員データを扱う組織に対して、四半期ごとのスキャンの実施(ibm.com外部へのリンク)を義務付けています。
クラウドとオンプレミスのアプリ、モバイルとIoT(モノのインターネット)デバイス、ノートPC、その他の従来のエンドポイントの間では、最新のエンタープライズ・ネットワークに存在する資産があまりに多いため、手動の脆弱性スキャンでは追いつきません。代わりに、セキュリティー・チームは脆弱性スキャナーを使用して自動スキャンを定期的に実行します。
潜在的な脆弱性を発見するために、スキャナーはまずIT資産に関する情報を収集します。なかには、エンドポイントにインストールされたエージェントを使用して、デバイスとそのデバイスで実行されているソフトウェア上のデータを収集するスキャナーもあります。一方、外部からシステムを検査し、開いているポートを調査して、デバイス構成とアクティブなサービスの詳細を明らかにするスキャナーもあります。一部のスキャナーは、デフォルトの資格情報を使用してデバイスへのログインを試行するなど、より動的なテストを実行します。
スキャナーが資産を評価すると、さまざまなハードウェアおよびソフトウェア・バージョンの共通脆弱性識別子(CVE)が記録されている脆弱性データベースと比較します。NISTやCISAのデータベースなどの公開ソースに依存しているスキャナーもあれば、独自のデータベースを使用するスキャナーもあります。
スキャナーは、各資産に関連する欠陥、例えばオペレーティング・システムにハッカーがデバイスを制御できてしまうリモート・デスクトップ・プロトコルのバグが存在することが知られているなどの兆候がないかどうかをチェックします。セキュリティーのベスト・プラクティスのリストに照らして資産の構成をチェックすることもあります。例えば、機密データベースに対して厳格な認証基準が適切に設定されていることを確認するといったことです。
次にスキャナーは、セキュリティー・チームがレビューできるように、特定された脆弱性に関するレポートを作成します。最も基本的なレポートでは、対処が必要な個々のセキュリティー問題がリストされるだけです。スキャナーによっては、詳細な説明を示し、スキャン結果を以前のスキャンと比較して、長期にわたる脆弱性管理を追跡する場合もあります。
それより高度なスキャナーになると、重要度に基づいて脆弱性の優先順位付けもされます。スキャナーは、共通脆弱性評価システム(CVSS)のスコアなどオープンソースの脅威インテリジェンスを使用して、欠陥の重大度を判断したり、組織固有のコンテキストで欠陥を考慮する、より複雑なアルゴリズムを使用したりする場合もあります。その場合は、欠陥ごとに修復や軽減の手法が推奨されることもあります。
新しい資産が追加されたり、新しい脆弱性の流行が発見されたりすると、ネットワークのセキュリティー・リスクは変化します。それでも、個々の脆弱性スキャンで収集できるのは、ある時点の瞬間だけです。進化するサイバー脅威の状況に対応するために、組織は定期的にスキャンを実施しています。
ほとんどの脆弱性スキャンでは、リソースと時間を大量に消費するため、すべてのネットワーク資産を一度に調査することはありません。それより一般的なのは、セキュリティー・チームが重要度に応じて資産をグループ化し、バッチでスキャンする手法です。特にクリティカルな資産は毎週または毎月スキャンしてもいいでしょうし、それほど重要ではない資産は四半期または1年ごとのスキャンで十分かもしれません。
セキュリティー・チームは、新しいWebサーバーの追加や新しい機密データベースの作成など、ネットワークに大きな変更が発生したときにスキャンを実行することもあります。
なかには、継続的なスキャンの機能を備えた高度な脆弱性スキャナーもあります。こうしたツールなら、資産をリアルタイムで監視し、新しい脆弱性が発生するとすぐにフラグが設定されます。ただし、連続スキャンが常に実行可能または望ましいとは限りません。集中的な脆弱性スキャンで負荷が高くなるとネットワークのパフォーマンスに干渉する可能性があるため、ITチームによっては代わりに定期的なスキャンを好む場合があります。
スキャナーにはさまざまな種類があり、セキュリティー・チームは多くの場合、ツールを組み合わせてネットワーク脆弱性の全体像を把握します。
スキャナーによっては、特定の種類の資産に特化したものもあります。例えば、クラウド・スキャナーはクラウド・サービスに特化していますが、Webアプリケーション・スキャン・ツールはWebアプリの欠陥を検索します。
スキャナーはローカルにインストールすることも、SaaS(サービスとしてのソフトウェア)アプリとして提供することもできます。オープンソースの脆弱性スキャナーと有料ツールのどちらも一般的です。組織によっては、脆弱性スキャンを全面的にサードパーティーのサービス・プロバイダーに委託している場合もあります。
脆弱性スキャナーはスタンドアロン・ソリューションとして利用できますが、ベンダーが総合的な脆弱性管理スイートの一部として脆弱性スキャナーを提供するケースも増えています。こうしたツールでは、複数の種類のスキャナーが攻撃対象領域管理、資産管理、パッチ管理、などの機能とともに1つのソリューションに統合されています。
スキャナーの多くは、セキュリティー情報およびイベント管理システム(SIEM)やEDR(エンドポイントの検知と対応)ツールなど、他のサイバーセキュリティー・ツールとの統合をサポートしています。
セキュリティー・チームは、ニーズに応じて各種のスキャンを実行できます。特に一般的な種類の脆弱性スキャンには次のようなものがあります。
外部脆弱性スキャンは、ネットワークを外部から調べます。Webアプリなどインターネットに接続する資産の欠陥に焦点を当て、ファイアウォールなどの境界コントロールをテストします。このスキャンは、外部ハッカーがネットワークにいかに侵入できるかを示します。
内部脆弱性スキャンでは、ネットワーク内部の脆弱性を調べます。侵入に成功したハッカーにどんなことができるのか、内部をどう横移動する可能性があるか、データ侵害でどんな機密情報が盗まれる可能性があるかなどを明らかにします。
「資格情報スキャン」とも呼ばれる認証スキャンには、権限のあるユーザーのアクセス特権が必要です。スキャナーは、アプリを外部から調べるだけでなく、ログインしたユーザーに何が表示されるかを確認できます。このようなスキャンは、ハッカーがハイジャックしたアカウントでどんなことができるのか、あるいは内部脅威がどのような被害をもたらすのかを示します。
「非資格情報スキャン」とも呼ばれる非認証スキャンの場合、アクセス権限や特権がありません。外部の視点から資産を見るだけだからです。セキュリティー・チームは、内部と外部の両方の非認証スキャンを実行できます。
どちらの種類のスキャンにもそれぞれのユースケースがありますが、重複する部分もあり、目的によっては組み合わせて使うこともできます。例えば、内部の認証スキャンでは、内部脅威の視点が示されます。対照的に、内部の非認証スキャンでは、ネットワーク境界を越えた不正なハッカーにどんなものが見えるかを示します。
脆弱性スキャンとペネトレーション・テスト、別個のものではありますが、関連のある形態のネットワーク・セキュリティー・テストです。機能は異なりますが、多くのセキュリティー・チームは相互補完的に両方を使用しています。
脆弱性スキャンは、自動化された概要レベルの資産スキャンです。欠陥を見つけてセキュリティー・チームに報告します。ペネトレーション・テストは手動のプロセスです。テスト実施者は倫理的ハッキングのスキルを使って、ネットワークの脆弱性を発見するだけでなく、攻撃シミュレーションでそれを実際に悪用します。
脆弱性スキャンは低コストで実行も容易なため、セキュリティー・チームがシステムを監視する目的で使用します。ペネトレーション・テストのほうが必要なリソースは増えますが、セキュリティー・チームがネットワークの欠陥をより深く理解するのに役立ちます。
脆弱性スキャンとペネトレーション・テストを併用すると、脆弱性管理はさらに効果的になります。例えば、脆弱性スキャンはテスト実施者にとって有用な出発点になります。一方、ペネトレーション・テストでは、誤検知を発見し、根本原因を特定して、サイバー犯罪者がより複雑な攻撃で脆弱性を連鎖させる方法を調査することで、スキャン結果にコンテキストを増やすことができます。
検出率を大幅に向上させ、脅威の検出と調査にかかる時間を短縮します。
最も重要な資産が漏えいする可能性のある欠陥を特定し、優先順位を付け、修復を管理する脆弱性管理プログラムを採用します。
脅威を分単位で特定します。組み込みのワークフローにより、さらなる効率化とシンプルな操作を実現します。
データ侵害の原因や、コストを増減させる要因を理解することが、侵害に対する備えを強化するために重要です。データ侵害に見舞われた550以上の組織の経験から学ぶことができます。
脅威ハンティングは、組織のネットワーク内で未知の脅威、または現在進行中で未修復の脅威を特定する事前対応型のアプローチです。
脅威に打ち勝つための脅威を知る - 脅威アクターがどのように攻撃を仕掛けているか、そして組織をプロアクティブに保護する方法を理解するのに役立つ実用的な洞察を提供します。