IT資産の脆弱性をつく標的型攻撃は日々巧妙さを増している。一方で、クラウドシフトの潮流により企業のIT資産は社内外に散在。次々に新たな脆弱性が発見され、多くのサービスがアップデートを繰り返す中で、ユーザー自身が手作業でそれらを管理・運用していくには限界がある。そうした課題に対するソリューションとして、アシスト(大塚辰男社長)は7月27日、脆弱性管理ツールのTenableの販売を開始した。

一日40件見つかる脆弱性
手作業による対応は困難

 標的型攻撃の多くは、ソフトウェアの脆弱性を利用する形でユーザーをマルウェアに感染させている。そこで、自社が持つ資産情報とセキュリティ団体などが公開する脆弱性情報をマッチングして脆弱性を把握し、対応するべき脆弱性の優先順位付けを行うことでリスクの高い脆弱性から効率的に対応する脆弱性管理(下図)が注目を集めている。アシストの中澤浩二・ビジネスインフラ技術本部アクセスインフラ技術統括部技術2部課長は「最近では(経済産業省の)サイバーセキュリティ経営ガイドラインや米国国立標準研究所(NIST)のサイバーセキュリティフレームワーク(CSF)など、各種ガイドラインや認証規格でもその脅威が指摘されていて、脆弱性管理の重要性が認識されつつある」と語る。
 

 しかし、脆弱性管理のプロセスを継続的に実行していくためには課題も少なくない。まず、多くの企業にとって、自社のIT資産が把握しづらくなってきている。かつてオンプレミスで運用していた資産をクラウドへと移行するケースが増えているほか、業界によってはOTなど従来のITの範疇にとどまらないシステムと業務システムを接続するケースも増えている。目を配るべきIT資産の範囲が拡大していることに加え、さまざまな環境に散在している状況だ。
 
(左から)ビジネスインフラ技術本部 アクセスインフラ技術統括部 技術2部・中澤浩二課長、
同じく越智一鐘部長

 もう一つの課題が、脆弱性の数だ。中澤課長は「一日に発見される脆弱性は40件以上と言われる。これだけの数の脆弱性をユーザー企業が独自に把握し、どれが自社の資産と関係するかをマニュアルで突合させるにはコストと時間がかかりすぎる」と指摘する。

 Tenableは米テナブルによって開発された脆弱性管理ツール。同社は世界的な脆弱性検知スキャナである「Nessus」を開発・提供しており、NessusにエンタープライズITのニーズに適う管理機能を追加したのがTenableだ。そのスキャン範囲はオンプレミスからクラウドまでをカバーし、OT資産の診断にも対応できるコンポーネントも用意している。同時にNISTが管理するNVD(National Vulnerability Database)などの脆弱性情報データベースとユーザー企業の資産情報とのマッチングまでを自動化する。

 独自のスコアリング基準もTenableの大きな特徴だ。現在市場にある多くの脆弱性管理ツールはCVSSと呼ばれる脆弱性評価基準を用いている。CVSSは脆弱性の深刻さを0~10のスコアで評価するもので、一般的な企業では7.0以上と評価された脆弱性には何かしらの対応が必要になるとされる。しかし実態としては、CVSSで評価した脆弱性の約60%が7.0以上と診断される。CVSSだけでは優先的に対応すべき脆弱性を十分に絞り込むことができなかったわけだ。

 そこでTenableでは、CVSSに加えて独自の評価基準「Tenable VPR」を採用した。VPRは専門のリサーチャーと機械学習により高い精度を実現。19年に悪用された脆弱性トップ10において、CVSSでは比較的軽微なリスクと評価されたものでも、VPRは高リスクだと評価した実績を持つ。Tenableは両者を採用することで、CVSS単体の診断で7.0以上と評価された脆弱性のうち、優先的に対応すべきものを約3%に絞り込むことができるという。これにより、ユーザーは継続的な脆弱性管理の負荷を大幅に低減できるようになる。

アシスト独自の提案で
統合的な運用管理を支援

 Tenableが支援するのは、資産情報と脆弱性情報の把握から検知した脆弱性のリスク評価までの範囲だ。対応すべき脆弱性を把握した後のソフトウェアのバージョンアップやパッチの適用といった処理はユーザー自身が行う。しかし、これらの処理にも相応の負荷はかかる。越智一鐘・アクセスインフラ技術統括部技術2部部長は「Tenableで脆弱性を発見した後にどんな対処をするのか、何らかの判断は必要になるため、事実関係を適切に把握して管理する必要がある。最近はこれらをチケット管理したいというユーザーが多い」と説明する。

 そこで、アシストでは、ITサービスマネジメントツール「Service Management Automation X(SMAX)」を6月から提供しており、Tenableと合わせて提案することで脆弱性への対応まで含め効率的な運用を支援する。越智部長は「SMAXと連携したTenableの提案ができるのは当社だけ。仮想化やアクセス制御製品などとも組み合わせてニーズに応えていきたい」と意気込む。

 同社はTenableを21年末までに1万5000ライセンス販売することを目標として掲げる。中でも「アシストの顧客基盤には大手製造業が多く、OTネットワークにも対応するTenableと親和性が高い市場」と越智部長は見ている。そのほか金融業では、近年PCI DSS(クレジット業界におけるセキュリティ基準)への対応が活発化していることから、提案を強化していく考えだ。(銭 君毅)