セキュリティ対策の“次の一手”

脆弱性スキャナで実現する
恒常的なセキュリティ管理


武田 圭史
カーネギーメロン大学日本校 大学院
情報セキュリティ研究科 教授
2008/2/21


「ソフトウェアアップデートやウイルス対策ソフトのパターンファイル更新は全社員全PCともに完ぺき」――もちろんこれはあるべき姿であるが、実際には社員のモラルや運用任せになりがちである。そこでネットワークを通じて脆弱性のチェックを行うスキャナに注目したい。脆弱性スキャンの重要性とともに、現在手に入れられる代表的な脆弱性スキャナ製品を紹介しよう (編集部)

 脆弱性スキャンのすすめ

 企業や組織のインターネット環境が整備され、ファイアウォールやウイルス対策ソフトなど基本的なセキュリティ対策技術が広く利用されるようになった。そもそもこういった「セキュリティ機能」を使用する以前のセキュリティ対策としてパッチ(修正プログラム)の適用やシステムの安全な設定が挙げられる。

 多くのセキュリティインシデントは管理者のミスや盲点が突かれることが多い。例えば「あるソフトウェアが導入されていることを知らずパッチが必要なことを認識していなかった」「パッチを当てたつもりだったがうまく適用されていなかった」「長年同じ設定で運用してきたため設定に問題があるとは思っていなかった」などといったケースは珍しくない。管理者も人間でありミスもある。

 また日々大量に発信される脆弱性情報やネットワークすべての設定情報を完全に把握することは不可能である。脆弱性スキャナを使用することでネットワークを通じてシステムの脆弱性や設定ミスを自動的に検出することが可能となり、脆弱性管理の負荷を軽減しつつシステムが安全な状態であることを確実なものとする。

 このようなメリットのある脆弱性スキャナであるが、継続的にスキャンを行い組織の脆弱性管理を実践できている組織はそれほど多くない。「脆弱性スキャナは年に数回のセキュリティ監査やペネトレーションテストの際に持ち込むもの」という思い込みもある。脆弱性スキャナを恒常的なセキュリティ管理プロセスに組み込み、システムの設定状態、パッチの適用状態などについて客観的な評価・確認を行うのが理想的である。スキャンの結果はセキュリティポリシーに基づくセキュリティ管理が確かに行われていることの監査記録であり、インシデントが発生した場合の証拠にもなる。

 脆弱性スキャナを日ごろから運用することで、通常時のシステム状態についての理解が深まり、異変があった場合にもすぐに気付くことができるのだ。

 脆弱性スキャンの仕組み

 脆弱性スキャナはネットワークを通じてネットワークに接続されたサーバやクライアント、ルータやファイアウォールなどの機器にアクセスする。その反応を見ることにより、システムが使用するソフトウェアのバージョンや仕様、既知の脆弱性の有無などを確認し、よく知られたバックドアやスパイウェアなどの存在も確認できる。また攻撃者の視点で外部からどういった情報にアクセスできるか、不要な情報の公開など対策が手薄となる個所を検出する。

 そのほかネットワークサービスが提示するバナー情報(接続時に表示される、バージョンなどが含まれるメッセージ)が必要以上の情報を公開していないかなどの確認や、製品によっては接続先のホストのクレデンシャル(認証情報)を登録することで各ホスト上の機能を使用して設定状況やソフトウェアのバージョン確認を一括して行う機能も備える。

【バナー情報についての関連記事】
セキュリティ対策の「ある視点」(1)
たった2行でできるWebサーバ防御の「心理戦」
http://www.atmarkit.co.jp/fsecurity/rensai/view01/view01.html

 脆弱性スキャナを使用するには、まず検査に使用するホストにソフトウェアをインストールし、脆弱性を確認するためのスキャンパターンを開発元ベンダのサイトを通じてダウンロードする。この動作は通常は起動時に自動的に行われる。ウイルス対策ソフトの定義ファイルの更新と同様である。

 次にどのようなアドレス範囲に対してどのようなスキャンを行うかを設定する。スキャン対象となるホストを個々に指定するかネットワークのアドレス範囲を指定する。スキャンのタイプは、通常スキャン、完全スキャン、高速スキャンなど利用目的に応じて複数用意される。そしてスキャンの開始ボタンをクリックすれば対象となるホストやネットワークに対してパケットが送信され脆弱性を確認するためのスキャンが開始される。

 接続するネットワーク環境にもよるがスキャン自体は完全スキャンを行っても1ホスト当たり1〜2分程度の時間で完了するのが一般的だ。

 脆弱性スキャナの活用による動的なネットワーク管理

 電子メールやWeb閲覧、グループウェア、業務アプリケーションなどを使用した定型的な業務を行う管理部門などでは、使用するシステムの脆弱性や設定状況を管理することは比較的容易である。しかし、研究所や大学などのように接続される機器の利用目的やOSなどが決まっておらず動的に変化する環境では、管理者が手作業で脆弱性をトラックし管理するには限界がある。

 脆弱性スキャナを活用することによって、このような柔軟なネットワークでも一定レベルのセキュリティ水準にあることを確認できる。ネットワークに個々に接続されるホストの内容を管理できない場合でも、脆弱性を持つ危険なホストが接続されていないかどうかを確認できるのだ。

 NAC(Network Admission Control)や検疫システムと呼ばれるソリューションでも、動的に接続されるホストの安全性を検証し、接続の可否をポリシーに基づき制御することが可能であるが、エージェントソフトウェアのインストールが必要などの利用の前提があり実際には展開が難しい場合が多い。また対応するプラットフォームがWindowsのみに制約されるなど、さまざまなプラットフォームの利用を前提とした研究所や大学などでは利用は難しいとされてきた。

 脆弱性スキャナはこのような管理の難しいネットワーク環境においても潜在するリスクを洗い出し、必要な対策に関する情報を提供してくれる。

1/3

Index
脆弱性スキャナで実現する恒常的なセキュリティ管理
Page1
脆弱性スキャンのすすめ
脆弱性スキャンの仕組み
脆弱性スキャナの活用による動的なネットワーク管理
  Page2
脆弱性スキャナ使用時の注意
脆弱性スキャナの選定と導入
  Page3
脆弱性スキャナ製品の例
Internet Scanner(IBMインターネットセキュリティシステムズ)
Nessus(テナブルネットワークセキュリティ)
Retina(イーアイデジタルセキュリティ)
SecureScout(ネクサンティス)
脆弱性スキャナは次の一手として有効

Security&Trust記事一覧


Security&Trust フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Security & Trust 記事ランキング

本日 月間