セキュリティ対策の“次の一手”
脆弱性スキャナで実現する
恒常的なセキュリティ管理
武田 圭史
カーネギーメロン大学日本校 大学院
情報セキュリティ研究科 教授
2008/2/21
脆弱性スキャナ使用時の注意
次に、脆弱性スキャナを利用する上での注意点を3つ挙げる。
1.スキャンに伴う過負荷や障害のリスク
脆弱性スキャンではオープンポートや脆弱性を持つサービスの有無を確認するために、大量のネットワークトラフィックが送出される。このため検査対象となるサーバ、ホスト、ネットワーク機器などにある程度の処理負荷が発生する。スキャンの際には実際の攻撃を行うわけでもサービス妨害のトラフィックが発生するわけでもないので、通常のスキャンで障害に結び付く可能性は低い。しかし対象ホスト側のセキュリティ対策機能が動作するなど利用形態やサービスによっては障害のきっかけとなる可能性がないわけではない。重要なイベントの前後を避け、システム保守の時間を設定しシステムやサービスが停止しても問題ないようにするなど配慮が必要だ。
2.既存のセキュリティ対策との干渉、ログへの影響を考慮する
ファイアウォールやIDS(侵入検知システム)、パーソナルファイアウォールなどが展開されている社内ネットワークに対して突然スキャンをかければ、あちらこちらでアラートが発生し利用者やほかの管理者からの問い合わせが殺到することは間違いない。脆弱性スキャンを行う際は、既存のセキュリティ対策への影響、スキャンパケットへの予想される反応を確認し、事前に回避策を検討しておく。
例えばパーソナルファイアウォールが導入されているホストをスキャンしてもほぼすべてのトラフィックが遮断されるために、ホストの詳細な状況を確認することができない。パーソナルファイアウォールによる防御をいったん停止したうえでスキャンを行うか、クレデンシャルをスキャナ側に登録しリモートレジストリなどを通じてホスト側の情報を確認する必要がある。
もちろんパーソナルファイアウォールのインストールによりリモートからの脆弱性の攻略がブロックされていることをもってよしとする考え方もある。
3.OSによるTCP同時接続数の制約
Windows XP SP2やWindows Server 2003 SP1はワーム感染による被害拡大を抑制するセキュリティ機能として、TCP接続の試みが同時に最大10本までしか行われないよう制限されている。短時間に多量のネットワーク接続を試みる脆弱性スキャナではこの制限によってスキャンの速度が遅くなってしまうことがある。LAN環境など比較的小規模でレスポンスが良い環境では影響は小さいがネットワーク外部からの検査などでは特に注意が必要だ。
このWindowsの制約についてはこれを回避するツールがRetinaの開発元であるイーアイより公開されている。
| 【関連リンク】 BIOT(eEye) https://sec.scs.co.jp/eeye/freedl.html (イーアイの国内代理店である住商情報システムのサイト) |
脆弱性スキャナの選定と導入
以下に代表的な脆弱性スキャナ製品とその概要を示す。脆弱性スキャナはただ導入しただけでは十分にその能力を発揮することができない。管理者が組織のポリシーに基づいてスキャンを実行し、その結果を解析し、そのフィードバックを運用環境に反映するなど能動的に活用してこそ意味がある。
脆弱性スキャナ自体には製品ごとの癖や、個々の製品の設計上の特性があり、利用者との相性の良しあしもある。対象となるネットワーク構成、組織のニーズや運用者のスキルや知識レベル、必要な報告形態などの要件に基づき最適な製品を選定するとよい。
この際に考慮すべき要素としては、設定項目や出力内容の理解のしやすさ、カバーする脆弱性の範囲、スキャン速度、誤検出の頻度、ライセンスによる制限事項などが重要と考えられる。多くの脆弱性スキャナが期間や対象を限定したうえで試用ができるようになっているので、利用を想定している対象ネットワークにおいて実際に利用してみるとよいだろう。
 |
2/3 |
 |
| Index | |
| 脆弱性スキャナで実現する恒常的なセキュリティ管理 | |
| Page1 脆弱性スキャンのすすめ 脆弱性スキャンの仕組み 脆弱性スキャナの活用による動的なネットワーク管理 |
|
 |
Page2 脆弱性スキャナ使用時の注意 脆弱性スキャナの選定と導入 |
| Page3 脆弱性スキャナ製品の例 Internet Scanner(IBMインターネットセキュリティシステムズ) Nessus(テナブルネットワークセキュリティ) Retina(イーアイデジタルセキュリティ) SecureScout(ネクサンティス) 脆弱性スキャナは次の一手として有効 |
|
 |
Security&Trust記事一覧 |
- Windows起動前後にデバイスを守る工夫、ルートキットを防ぐ (2017/7/24)
Windows 10が備える多彩なセキュリティ対策機能を丸ごと理解するには、5つのスタックに分けて順に押さえていくことが早道だ。連載第1回は、Windows起動前の「デバイスの保護」とHyper-Vを用いたセキュリティ構成について紹介する。 - WannaCryがホンダやマクドにも。中学3年生が作ったランサムウェアの正体も話題に (2017/7/11)
2017年6月のセキュリティクラスタでは、「WannaCry」の残り火にやられたホンダや亜種に感染したマクドナルドに注目が集まった他、ランサムウェアを作成して配布した中学3年生、ランサムウェアに降伏してしまった韓国のホスティング企業など、5月に引き続きランサムウェアの話題が席巻していました。 - Recruit-CSIRTがマルウェアの「培養」用に内製した動的解析環境、その目的と工夫とは (2017/7/10)
代表的なマルウェア解析方法を紹介し、自社のみに影響があるマルウェアを「培養」するために構築した動的解析環境について解説する - 侵入されることを前提に考える――内部対策はログ管理から (2017/7/5)
人員リソースや予算の限られた中堅・中小企業にとって、大企業で導入されがちな、過剰に高機能で管理負荷の高いセキュリティ対策を施すのは現実的ではない。本連載では、中堅・中小企業が目指すべきセキュリティ対策の“現実解“を、特に標的型攻撃(APT:Advanced Persistent Threat)対策の観点から考える。
 |
|
|
|
|
