継続的モニタリングによる総合セキュリティ対策 Tenable SecurityCenter Continuous View
2014年9月時点の内容です
SecurityCenter Continuous Viewは、脆弱性管理、マルウェア検出、アセット管理、ログ収集等を行い、効果的なセキュリティ対策を支援する総合的な管理ソリューションです。IT管理者が抱える課題を解決し、情報漏えい等のリスクを大幅に軽減します。
サイバー攻撃と脆弱性
OpenSSL、Struts1、Internet Explorer等々。インターネットや企業ネットワークにおいて広く使われているソフトウェア上の問題点が次々と報告され、「脆弱性」というキーワードはすっかり身近なものになりました。OpenSSLの脆弱性であるHeartbleedは、痕跡を残さずに対象のサーバから情報を窃取することができるというものですが、この脆弱性は発見されるまで2 年間に亘ってシステムに存在していたことから、気づかれぬまま多くのユーザが甚大な被害を受けていた可能性があり、近年発生した問題の中で最も深刻なセキュリティ災害の一つと考えられています。このように大々的に報じられるものだけでなく、新たな脆弱性情報が日々報告されており、世の中で使用されている製品に関する脆弱性は膨大な数に上ります。システム管理者にとって、自社のシステムが安全であるかどうかというのは重大な関心事項ですが、日々増大する大量の脆弱性情報を把握するのは容易なことではありません。
そもそもサイバー攻撃が成立するのは、脆弱性がシステムに存在しているためです。攻撃者は脆弱性を利用して、システムの乗っ取りや情報の窃取を行うからです。脆弱性をいち早く検知し、パッチの適用やソフトウェアのアップデート、機器の入れ替えを行うことで、サイバー攻撃による被害のリスクを軽減することが可能になります。そのためにも、まずはシステムにおける脆弱性の有無を調べることが必要です。
脆弱性の検知
脆弱性の検知には、スキャナと呼ばれるツールを使用することが一般的です。脆弱性スキャナは、ネットワーク内の機器上のOS、アプリケーション、設定内容、パッチの適用状況等を確認し、セキュリティ上の問題点を検出します。
米国Tenable Network Security 社のNessusは、世界中で2万社以上のユーザが使用している、代表的な脆弱性スキャナ製品です。プラグインと呼ばれる脆弱性情報を元に、システムや製品における脆弱性の有無を効率的に検知します。6万種類以上に及ぶプラグインが搭載されており、IT関連の機器はもちろんのこと、SCADAと呼ばれる制御機器分野のセキュリティ試験にも対応しています。新たな脆弱性情報が公開されると、24 時間以内にプラグインが発行され、ユーザは最新の脆弱性に関する検査を行うことができます。
脆弱性検出の結果
また、スキャンを行うことによって、ネットワークに接続されているホストの情報を取得できるという利点もあります。いわゆるアセット管理です。管理対象の機器の情報を得るだけでなく、ユーザが無断でネットワークに接続している端末(こうした機器はセキュリティ上、大きな問題となります)を検出することもできます。
さらに、対象ホスト内のファイルを調べ、マルウェアを検出する機能もあります。アンチウィルスソフトだけでは必ずしも全てのマルウェアを検知することはできず、スキャンを組み合わせることでセキュリティを高めることが可能になります。
また、こうしたスキャンは、PCI DSSに代表される、セキュリティポリシーへのコンプライアンステストにも活用されています。脆弱性検出は非常に有効なセキュリティ対策ですが、次のような課題があります。
定期的なスキャンの必要性
脆弱性情報は、日々報告されており、常に増え続けます。スキャンの結果、その時点で脆弱性が見つからなかったとしても、1 週間後もそのシステムにおいて脆弱性が見つからないという保証はどこにもありません。なるべく頻繁にスキャンを行うことが必要ですが、作業を行う人にとっては、作業負担が大きくなります。脆弱性診断を外部に委託するケースもありますが、その場合は費用負担が大きくなります。しかし、スキャンの頻度が低ければ、被害を受けるリスクも高まっていきます。
システムに与える影響
脆弱性スキャンは、システムに対し様々な試験信号を送信し、脆弱性を探します。従って、ネットワークやシステムに与える影響はゼロではありません。ミッションクリティカルなシステムにおいては、試験トラフィックを送信することが許容されない場合があり、そうしたシステムでは別の手段で脆弱性を検知することが求められます。
継続的モニタリング
Tenable Network Security社のSecurityCenter Continuous Viewは、こうした課題を解決し、総合的なセキュリティ管理を可能にします。
Passive Vulnerability Scanner(PVS)は、ネットワーク上のトラフィックをモニタし、セキュリティ上の問題を見つけ出します。パッシブな監視ですのでシステムやネットワークに負荷を与えません。Log Correlation Engine(LCE)は、機器からのログを収集し、解析を行うことで、システムにおける不審なふるまいや攻撃に関する情報を出力します。PVSやLCEによって、24時間365日の継続的なセキュリティ管理が実現されます。さらに、Nessusによる定期的なスキャンの結果も加え、統合的コンソールSecurityCenterは、脆弱性、サイバー攻撃、マルウェアに関する情報を一元的に管理します。システムに存在している脆弱性、見つかった問題点の対応状況、管理者が認識していないネットワーク内の端末の存在といった、システム管理者が必要とする情報を全て取得することができます。極めて柔軟性の高い管理画面が提供されており、大規模なシステムにおいても効率的な監視が可能になっています。
SecurityCenterにおける管理画面
サイバー攻撃はもはや日常的なものとなり、今やどのような企業や組織も標的となり得る状況です。被害を防ぐためには、攻撃者が利用し得るシステム内の脆弱性を検出し、適切な対応を取ることが必要です。
その有効な対策が継続的モニタリングであり、システム管理者の抱えるセキュリティ上の課題を解決します。