システムの脆弱性を放置すれば、当然、セキュリティインシデントの発生可能性や影響度が高まります。しかし、脆弱性管理ベンダーの長年の技術革新にもかかわらず、脆弱性の検出についてはまだまだ最適化の余地があります。
脆弱性のスキャンは概念としてはシンプルですが、期待するレベルの可視性を実現するためには、スキャン対象のグループ化、オプションの設定、データの更新方法など、多岐にわたり理解する必要があります。
本稿では、脆弱性検出の3つの側面と、それを踏まえた脆弱性管理を最適化する方法について紹介します。

脆弱性検出のためのスキャン作業の幅

スキャンターゲットにネットワークのサブネットを使用することで、スキャンを効率化することができます。しかし、何がスキャンされたかはほとんど報告されず、「指定IPアドレスをスキャンしたが接続されたホストがない」という記録がなければ報告は困難です。検知が上手く行かなかった可能性があるといった報告なしには、スキャン対象の一部の範囲に見落としがあったのか、あるいはその範囲でIPを割り当てたホストがないのかを区別する方法がありません。これに対応するには、次のいずれかの方法を使用します。

  • 仮定の採用
    あるIPアドレスに脆弱性が見つかった場合、それに対応するサブネットがスキャンされたに違いないという仮定を採用します。単純な方法ですが、スキャンジョブで使用するスキャンターゲットを、幅の測定値を計算するときに使用するものと同じにする必要があります。
  • 設定の変更
    通常はデフォルトで無効になっているスキャナの「停止しているホストを報告する」設定を有効にします。これにより、スキャンされたがホストが存在しなかったすべてのIPアドレスのレコードが作成されます。この設定は多くの停止しているホストの記録を報告し、大規模なネットワークではスキャンプラットフォームを圧迫するかもしれませんが、スキャン対象範囲に関するトラブルシューティングを可能にし、対象範囲がスキャンできたかどうかの確かさを保証するための、小さな代償であると考えられます。

脆弱性検出のためのスキャン作業の深さ

ホストから脆弱性データを収集する場合、脆弱性を素早く確認するのか、それともホストのソフトウェアと構成を深く調査して脆弱性をより包括的に把握するのかを選ぶことができます。これらのオプションは、それぞれ認証されていないスキャンと認証されたスキャンと呼ばれています。もちろん、認証されたスキャンデータの方が好ましいものであり、検出されたホストの追跡方法を見ることで比較的簡単に監視することができます。
複数のスキャナのテストカタログと顧客の実行状況を見てきましたが、KPMGの経験では、認証されたスキャンは認証されていないスキャンに比べて、ホストあたり6倍の脆弱性を検出し、同4倍の重要な脆弱性を検出します。
また、エージェントはスキャンの特効薬だと思われがちですが、エージェントにはいくつかの利点(ネットワーク負荷の軽減、エージェントレス・トラッキングによるホストの重複排除、DHCP環境での誤検知の軽減)があるものの、SSL/TLSなどの脆弱性については、エージェントと認証付きのネットワークスキャンとは検出力は同等ではありません。1:1の同等性ではなく、エージェントは認証済みネットワークスキャンで検出する約95%の脆弱性を検出していることがわかります。エージェントを補完するために、エージェントの展開を追跡し、これらのホストを専用のオプションプロファイルを持つ独自のグループに移動させ、次のスキャンで残りの問題をスキャンする必要があります。

脆弱性検出のためのスキャンデータの鮮度

データの鮮度は、脆弱性が修復できているかどうかの検証、脆弱性情報の陳腐化の削減、誤検知の発生最小化にかかわります。ネットワークの大部分を定期的にスキャンしている企業もありますが、一方で、数ヵ月から数年にわたって全くスキャンを行っていない企業も多く存在し、大規模なセキュリティイベントにつながる可能性が否定できません。この問題に対処するには、すべてのデータを定期的に更新する必要があります。このための効率的なプロセスとしては、ネットワークのサブネット、ファイアウォールの配置、スキャナの配置、エージェントの配置などにより、スキャナ、ターゲット、オプションをセグメント化する必要があります。これがきちんとできていれば、広範なセキュリティプログラムの肝となる脆弱性管理プログラムを最適化することができます。

本稿が、脆弱性管理プログラムの最適化について、貴社の理解の助けになれば幸いです。ほとんどのテクノロジー導入と同様、「設定したら終わり」というアプローチでは、望ましい結果を得ることはできませんが、上記の結果に焦点を当てることで、高パフォーマンスの脆弱性管理を達成することができます。
スキャン作業の幅、深さ、データの鮮度を重視し、定期的に脆弱性管理プログラムを確認して改善していく必要があります。システムの脆弱性を迅速に検出して手当することで、企業はイノベーションと成長に向けより多く投資することができるようになります。

本稿は、KPMGインターナショナルが2021年に発表した「Achieving scanning excellence in vulnerability management」を翻訳したものです。翻訳と英語原文に齟齬がある場合には、英語原文が優先するものとします。

全文はこちらから(英文)
Achieving scanning excellence in vulnerability management

お問合せ