脆弱性スキャンは「脆弱性評価」とも呼ばれ、ネットワークやIT資産についてセキュリティー上の脆弱性、すなわち外部または内部の脅威アクターが悪用できる欠陥や弱点を評価するプロセスのことです。脆弱性スキャンは、より広範な脆弱性管理ライフサイクルの最初の段階です。
現在ほとんどの組織で、脆弱性スキャンはすべて自動化されており、専用の脆弱性スキャン・ツールで欠陥を発見し、セキュリティー・チームが確認できるようにフラグを立てます。
IBMのX-Force Threat Intelligence Indexによると、脆弱性のエクスプロイテーションは最も一般的なサイバー攻撃ベクトルの1つです。脆弱性スキャンは、セキュリティーの弱点がサイバー犯罪者によって武器化される前に、組織がセキュリティーの弱点を見つけ、解決するうえで役立ちます。そのため、Center for Internet Security(CIS)は、自動脆弱性スキャンを含む継続的な脆弱性管理をサイバーセキュリティー上重要な取り組みとみなしています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
セキュリティーの脆弱性とは、IT資産やネットワークの構造、機能、実装における弱点のことです。ハッカーなどの脅威アクターはこの弱点を悪用して不正アクセスを取得し、ネットワーク、ユーザー、またはビジネスに損害を与える可能性があります。一般的な脆弱性は、次のとおりです。
毎月、何千という新しい脆弱性が発見されています。米国の官公庁・自治体機関には米国国立標準技術研究所(NIST)とサイバーセキュリティー・インフラストラクチャセキュリティ庁(CISA)の2つがあり、既知のセキュリティ脆弱性の検索可能なカタログを管理しています。
脆弱性は発見されると詳細に文書化されますが、残念ながら、ハッカーなどの脅威アクターのほうが先に脆弱性を発見し、組織の不意を突いてくることも少なくありません。
こうしたサイバー脅威に接したときの事前対応力にすぐれたセキュリティー体制を確保する目的でITチームが導入するのが、脆弱性管理プログラムです。脆弱性管理プログラムは、ハッカーに悪用される前にセキュリティー・リスクを特定して解決する継続的なプロセスに従います。脆弱性スキャンは通常、脆弱性管理プロセスの最初のステップであり、ITチームとセキュリティー・チームが取り組む必要のあるセキュリティー上の弱点を発見しようとします。
次のような目的で脆弱性スキャンを使用しているセキュリティー・チームも少なくありません。
セキュリティー対策とセキュリティー・コントロールの検証—新しいコントロールの導入後、チームは多くの場合、もう一度スキャンを実行して、特定した脆弱性が解決されていること、修復作業によって新たな問題が発生していないことを確認します。
規制コンプライアンスの維持。脆弱性スキャンが明示的に義務付けられている規制もあります。たとえば、Payment Card Industry Data Security Standard(PCI-DSS)は、カード会員データを扱う組織に対して、四半期ごとのスキャンの実施を義務付けています。
クラウドとオンプレミスのアプリ、モバイルとIoT(モノのインターネット)デバイス、ノートPC、その他の従来のエンドポイントの間では、最新のエンタープライズ・ネットワークに存在する資産があまりに多いため、手動の脆弱性スキャンでは追いつきません。代わりに、セキュリティー・チームは脆弱性スキャナーを使用して自動スキャンを定期的に実行します。
潜在的な脆弱性を発見するために、スキャナーはまずIT資産に関する情報を収集します。なかには、エンドポイントにインストールされたエージェントを使用して、デバイスとそのデバイスで実行されているソフトウェア上のデータを収集するスキャナーもあります。一方、外部からシステムを検査し、開いているポートを調査して、デバイス構成とアクティブなサービスの詳細を明らかにするスキャナーもあります。一部のスキャナーは、デフォルトの認証情報を使用してデバイスへのログインを試行するなど、より動的なテストを実行します。
スキャナーは資産をスキャンした後、脆弱性データベースと比較します。このデータベースには、さまざまなハードウェアおよびソフトウェア・バージョンの共通脆弱性識別子(CVE)が記録されています。NISTやCISAのデータベースなどの公開ソースに依存しているスキャナーもあれば、独自のデータベースを使用するスキャナーもあります。
スキャナーは、各資産に関連する欠陥の兆候がないかどうかをチェックします。例えば、オペレーティング・システムのリモート・デスクトップ・プロトコルのバグのような問題を探します。こうしたバグがあると、ハッカーがデバイスを制御できるようになる可能性があります。セキュリティーのベスト・プラクティスのリストに照らして資産の構成をチェックすることもあります。たとえば、機密データベースに対して厳格な認証基準が適切に設定されていることを確認するといったことです。
次にスキャナーは、セキュリティー・チームがレビューできるように、特定された脆弱性に関するレポートを作成します。最も基本的なレポートでは、対処が必要な個々のセキュリティー問題がリストされるだけです。スキャナーによっては、詳細な説明を示し、スキャン結果を以前のスキャンと比較して、長期にわたる脆弱性管理を追跡する場合もあります。
それより高度なスキャナーになると、重要度に基づいて脆弱性の優先順位付けもされます。スキャナーは、共通脆弱性評価システム(CVSS)のスコアなどオープンソースの脅威インテリジェンスを使用して、欠陥の重大度を判断したり、組織固有のコンテキストで欠陥を考慮する、より複雑なアルゴリズムを使用したりする場合もあります。その場合は、欠陥ごとに修復や軽減の手法が推奨されることもあります。
新しい資産が追加されたり、新しい脆弱性の流行が発見されたりすると、ネットワークのセキュリティー・リスクは変化します。それでも、個々の脆弱性スキャンで特定できるのは、ある時点の瞬間だけです。進化するサイバー脅威の状況に対応するために、組織は定期的にスキャンを実施しています。
ほとんどの脆弱性スキャンでは、リソースと時間を大量に消費するため、すべてのネットワーク資産を一度に調査することはありません。それより一般的なのは、セキュリティー・チームが重要度に応じて資産をグループ化し、バッチでスキャンする手法です。特にクリティカルな資産は毎週または毎月スキャンしてもいいでしょうし、それほど重要ではない資産は四半期または1年ごとのスキャンで十分かもしれません。
セキュリティー・チームは、新しいWebサーバーの追加や新しい機密データベースの作成など、ネットワークに大きな変更が発生したときにスキャンを実行することもあります。
なかには、連続スキャンの機能を備えた高度な脆弱性スキャナーもあります。こうしたツールなら、資産をリアルタイムで監視し、新しい脆弱性が発生するとすぐにフラグが設定されます。ただし、連続スキャンが常に実行可能または望ましいとは限りません。集中的な脆弱性スキャンで負荷が高くなるとネットワークのパフォーマンスに干渉する可能性があるため、ITチームによっては代わりに定期的なスキャンを好む場合があります。
スキャナーにはさまざまな種類があり、セキュリティー・チームは多くの場合、ツールを組み合わせてネットワーク脆弱性の全体像を把握します。
スキャナーによっては、特定の種類の資産に特化したものもあります。たとえば、クラウド・スキャナーはクラウド・サービスに特化していますが、Webアプリケーション・スキャン・ツールはWebアプリの欠陥を検索します。
スキャナーはローカルにインストールすることも、SaaS(サービスとしてのソフトウェア)アプリとして提供することもできます。オープンソースの脆弱性スキャナーと有料ツールのどちらも一般的です。組織によっては、脆弱性スキャンを全面的にサードパーティーのサービス・プロバイダーに委託している場合もあります。
脆弱性スキャナーはスタンドアロン・ソリューションとして利用できますが、ベンダーが総合的な脆弱性管理スイートの一部として脆弱性スキャナーを提供するケースも増えています。こうしたツールでは、複数の種類のスキャナーが攻撃対象領域管理 、資産管理、パッチ管理などの主要な機能とともに、1つのソリューションに統合されています。
スキャナーの多くは、セキュリティー情報およびイベント管理システム(SIEM)やEDR(エンドポイントの検知と対応)ツールなど、他のサイバーセキュリティー・ツールとの統合をサポートしています。
セキュリティー・チームは、ニーズに応じて各種のスキャンを実行できます。特に一般的な種類の脆弱性スキャンには次のようなものがあります。
外部脆弱性スキャンは、ネットワークを外部から調べます。Webアプリなどインターネットに接続する資産の欠陥に焦点を当て、ファイアウォールなどの境界コントロールをテストします。このスキャンは、外部ハッカーがネットワークにいかに侵入できるかを示します。
内部脆弱性スキャンでは、ネットワーク内部の脆弱性を調べます。侵入に成功したハッカーにどんなことができるのか、内部をどう横移動する可能性があるか、データ侵害でどんな機密情報が盗まれる可能性があるかなどを明らかにします。
「認証スキャン」とも呼ばれる認証情報を使ったスキャンには、権限のあるユーザーのアクセス特権が必要です。スキャナーは、アプリを外部から調べるだけでなく、ログインしたユーザーに何が表示されるかを確認できます。このようなスキャンは、ハッカーがハイジャックしたアカウントでどんなことができるのか、あるいは内部脅威がどのような被害をもたらすのかを示します。
「非認証スキャン」とも呼ばれる認証情報を用いないスキャンの場合、アクセス権限や特権がありません。外部の視点から資産を見るだけだからです。セキュリティー・チームは、内部と外部の両方の非認証スキャンを実行できます。
どちらの種類のスキャンにもそれぞれのユースケースがありますが、重複する部分もあり、目的によっては組み合わせて使うこともできます。たとえば、内部の認証スキャンでは、内部脅威の視点が示されます。対照的に、内部の非認証スキャンでは、ネットワーク境界を越えた不正なハッカーにどんなものが見えるかを示します。
脆弱性スキャンとペネトレーション・テストは別個のものではありますが、関連のある形態のネットワーク・セキュリティー・テストです。機能は異なりますが、多くのセキュリティー・チームは相互補完的に両方を使用しています。
脆弱性スキャンは、自動化された概要レベルの資産スキャンです。欠陥を見つけてセキュリティー・チームに報告します。ペネトレーション・テストは手動のプロセスです。テスト実施者は倫理的ハッキングのスキルを使って、ネットワークの脆弱性を発見するだけでなく、攻撃シミュレーションでそれを実際に悪用します。
脆弱性スキャンは低コストで実行も容易なため、セキュリティー・チームがシステムを監視する目的で使用します。ペネトレーション・テストのほうが必要なリソースは増えますが、セキュリティー・チームがネットワークの欠陥をより深く理解するのに役立ちます。
脆弱性スキャンとペネトレーション・テストを併用すると、脆弱性管理はさらに効果的になります。例えば、脆弱性スキャンはテスト実施者にとって有用な出発点になります。一方、ペネトレーション・テストでは、誤検知を発見し、根本原因を特定して、サイバー犯罪者がより複雑な攻撃で脆弱性を連鎖させる方法を調査することで、スキャン結果にコンテキストを増やすことができます。