Special
» 2013年07月10日 10時00分 UPDATE

単なる脆弱性「検査」からリスクに基づく「管理」へ:Tripwire Enterpriseを補完し、包括的なセキュリティ管理を実現する「Tripwire IP360」ソリューション

トリップワイヤ・ジャパンは脆弱性管理ソリューション「Tripwire IP360」の発売を開始した。既存製品の「Tripwire Enterprise」と相互に補完し合うソリューションの登場で、“新生”トリップワイヤのセキュリティポートフォリオはどう変化するのか。

[PR/@IT]

 2013年3月、米トリップワイヤがnCicleの買収を発表した。同社はこれまでも、システムや設定の変更管理/改ざん検知ソリューション「Tripwire Enterprise」を提供していたが、nCircleの買収により、脆弱性管理やエージェントレスによるファイル整合性管理などの機能を提供できるようになった。

 同社の新製品である「Tripwire IP360」ソリューションが何を実現できるのか、トリップワイヤ・ジャパンの代表取締役社長 杉山富治郎氏と同社技術サービス部マネージャー 菊地浩一氏に聞いた。

穴を見つけるだけではなく「マネジメント」が必要に

 近年、多くの「サーバ改ざん」が行われており、IT業界だけでなく一般のニュースでも大きく取り上げられるようになった。改ざんされたサーバにアクセスすると、背後ではクライアントに不正プログラムがダウンロードされ、内部からサーバへ侵入する方式で侵入が行われてしまう。

 こうした背景から、ウイルス対策ソフトによる水際での防御という従来型の対策に加え、その前、あるいはそれをすり抜けてしまった後の対策も重要だということに、多くの企業が気付き始めている。

 サーバ改ざんを防ぐ方法としては、何らかの「穴」がないか、またシステム領域、プログラムなどが以前と異なる状態にないかを監視することが第一だ。脆弱性検査は、まさにこうした対策を目的としたものだ。そして、脆弱性アセスメントを一歩進めた「脆弱性マネジメント」を提唱するのが、トリップワイヤ・ジャパンの「Tripwire IP360」だ。

 脆弱性マネジメント製品の機能としては、管理対象のサーバやクライアント、各種デバイスが「正常であることを証明する」ことが望まれる。Tripwire IP360がそれをどう実現しているかを紹介しよう。

Tripwire IP360ソリューションのモジュール構成

 Tripwire IP360は、サーバ、クライアントの資産管理やバージョンチェック、脆弱性の有無を管理するソリューションだ。まずその構成を紹介しよう。主なモジュールは以下の通りだ。

tripwire_fig01.png 図1 Tripwire IP360ソリューションのシステム構成
  • Suite360 Intelligence Hub

 分析・レポーティングプラットフォーム

  • IP360

 内部脆弱性スキャンを実施するアプライアンス

  • Configuration Compliance Manager(CCM)

 構成とコンプライアンス管理をエージェントレスで実現

  • PureCloud

 外部/内部検査の実施が可能なクラウドベースの脆弱性診断サービス

  • WebApp360

 CSRFやXSSなど、Webアプリケーションの脆弱性検査を実施(オプション)

  • PCIスキャン

 オンデマンドスキャンと、ASV認証をクリアしたレポート(オプション)

 脆弱性検査では、脆弱性を発見するだけでは不十分だと言わざるを得ない。その「穴」に対処を行って初めて、検査がユーザーにとって意味あるものになる。

 このうち、アプライアンス製品の「IP360」は、脆弱性をスキャンし、スコアリングされたスキャン結果を見やすい形でレポート化する。しかもダッシュボードでは、推奨される対策を表示し、さらにそのタスクをチケット化し、担当者にアサインするまでの一連のプロセスを管理できる。これが、同社が一連のソリューションを、脆弱性アセスメントではなく「脆弱性マネジメント」と表現している理由だ。

 IP360のスキャン検査は慎重に行われる。初期の検査ツールの多くは、ポート番号を順番にチェックし、無秩序に多数のプロトコルで“アタック”するという単純なものだった。しかしIP360は、対象機器の反応を見てプロトコルやバージョン、状況を把握したうえで問題がないかを判断し、正確にチェックを行う。

tripwire_fig02.png 図2 IP360が実施する丁寧な検査

 しかも脆弱性検査とはいえ、対象デバイスを「落とす」ような事態は避けなくてはならない。ペネトレーションテストでは、熟練した検査者でないと、検査のための攻撃シミュレーションのつもりが実際に「攻撃」してしまい、システムをダウンさせる事故が起きる可能性があるという。

 Tripwire IP360ソリューションは多くのノウハウを投入し、そのような事態が起こらないようコントロールしながらスキャンを実施しているという。その意味で、このソリューションで実施できる脆弱性検査は、人の手で行われるペネトレーションテストと、ポートスキャンツールなどで実施できる機械的なテストの中間に位置すると言える。

組み込みやモバイルも変更監視――エージェントレスで広がる適用範囲

 Tripwire IP360ソリューションのモジュールの1つ、「Configuration Compliance Manager」(CCM)は、エージェントレスで構成管理を行うツールだ。

 従来型の構成/資産管理ツールの多くは、各サーバや各クライアントにエージェントとなるプログラムをインストールし、自身の状態を中央サーバに送信する形をとっていた。これに対しCCMは、エージェントレスのアーキテクチャを取っているため、さまざまな環境に適用できる。これまでは監視が難しかった組み込み系の機器やモバイルデバイスも対象に含めることができる。

tripwire_ph01.jpg トリップワイヤ・ジャパン 代表取締役社長
杉山富治郎氏

 杉山氏は「特にセキュリティ関連機器や金融系など、『エージェントレスでないと導入できない』という業種もある。また、制御機器などはソフトウェアの追加により性能が落ちることを嫌うので、エージェントレスは効果が高い」と述べる。

 しかも、スキャンのために各サーバで準備を行う必要がなくなるため、ミッションクリティカルなシステムに対しても監視、管理が行える。いままでは実現不可能だった領域にも監視の目を行き渡らせ、潜在的な「穴」がないか、きちんとコンプライアンスを満たしているかどうかをチェックできるようになる。

エンジニアも経営者も納得のレポート内容

 Tripwire IP360ソリューションは「レポート」にも自信を持っている。IP360やCCMの情報を基にSuite360 Intelligence Hubが出力するレポート/ダッシュボードは、現場のエンジニア向けには詳細な内容を、そして経営者向けのサマリーレポートは一目で状況を把握できる視覚的なものを用意している。

tripwire_ph02.jpg トリップワイヤ・ジャパン 技術サービス部マネージャー 菊地浩一氏

 まず現場のエンジニア向けのダッシュボード情報を見てみよう。ネットワークに存在するデバイス――モバイルデバイスや私物PCなども含めたすべて――について、資産管理、脆弱性管理、そしてトポロジやプロトコルの管理までが可能だ。

 何らかのスキャンや管理を行えば、ネットワーク上に存在する脆弱性が見えてくる。見つかった脆弱性がクリティカルなものか、それともそう深刻な問題ではないのかを判断するために、「数値」で表現する方法が一般的だ。しかし、その数値も数段階程度の刻みだと、すべてが「クリティカル」となり、本来の優先順位付けが困難になる状況に陥りがちだ。

 Suite360 Intelligence Hubでは、独自のスコアリングシステムを用意している。縦軸に「WindowsのGUIで操作可能な攻撃ツールなどが提供されている」から「ツールや攻撃方法が公開されていない」といった6段階のスキルレベルが、横軸には「サービスの稼働可能」から「リモート攻撃可能」といった7段階のリスクレベルがマッピングされた複合的なスコアを算出でき、最終的に0点から5万点の間でスコアが算出される。

tripwire_fig03.png 図3 独自のスコアリングシステムによるきめ細かなスコアリング

 Suite360 Intelligence Hubでは、このスコアだけでなく、実際に検査を行ったときのパケットの内容や履歴が確認できることも大きな特徴だ。ドリルダウンすると、検査に対しどういった反応が起こったのかが分かる。さらに、パッチを適用するなどの対処を行った結果、反応がどう変わり、スコアがどう変化したのかを時系列で追うことができると菊地氏は説明する。「パッチを当てたから対策完了」ではなく、ここまで追いかけて初めて、脆弱性をマネジメントした、と言えるだろう。

tripwire_fig04.png 図4 検査を実施したときのパケットの内容まで確認できる

 さらに、オンプレミスで利用するTripwire IP360の機能を、クラウドサービスとして提供する「PureCloud」も提供していく。クラウド上で提供されるため、業種、規模を問わずにすぐ導入できることが特徴だ。また、前もって社内ネットワーク内にコネクタを導入しておけば、外部からのスキャンだけでなく内部スキャンを含めた脆弱性診断も可能となっている。

Tripwire Enterpriseとの連携で包括的なセキュリティ管理を

 以上、Tripwire IP360ソリューションの特徴を簡単に紹介したが、これは決して、従来から提供してきた「Tripwire Enterprise」と競合するものではないという。

 例えば構成管理1つとっても、Tripwire IP360ソリューションのCCMが提供するエージェントレススキャンには、リアルタイムでの変更検出は困難だがカバレッジの広さという利点がある。一方Tripwire Enterpriseでは、当然ながらエージェントがインストールされていない機器はスキャンできないが、リアルタイムに監視を行い、迅速に対応できるという特徴がある。両者を組み合わせることで、「適材適所のソリューションを提供できる」(杉山氏)という。

 トリップワイヤが2013年3月にnCircleを買収して以降、製品のカバレッジエリアが広がり、日米ともに「新生トリップワイヤの始まり」(杉山氏)という意気込みで取り組んでいるという。注目される脆弱性マネジメント分野での新たな「ツール」として、Tripwire IP360ソリューションは注目に値するだろう。

Copyright© 2017 ITmedia, Inc. All Rights Reserved.


提供:トリップワイヤ・ジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2013年8月9日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。