「サイバーエクスポージャー管理とは〜事例から学ぶ新時代の脆弱性管理～」

＜サイバーエクスポージャーとは＞

「エクスポージャー（exposure）」という言葉・概念は日本では馴染みが薄いが、金融の世界では以前から使用されている。サイバーエクスポージャーとは、この金融用語のエクスポージャーをサイバーセキュリティの世界に応用したものだ。

金融用語では、金融資産全体のポートフォリオの中で、個々の資産が外的なリスクによって失われてしまう可能性を考慮する概念を指す。実際にITサービスも、複数の種類のIT資産から構成されている。そこで個々のIT資産がどういった外的リスク、つまりサイバー攻撃のリスクにさらされているのか。万が一、攻撃を受けたときに、どういった影響が発生するのか。リスクを総合的に分析・評価することで、どこを優先してセキュリティ面を強化すればいいのか。これらについて考えていくのが、サイバーエクスポージャーのコンセプトだ。

＜サイバーエクスポージャー管理は事前対策に該当する＞

サイバーセキュリティでは「検知・防御」や「レスポンス（レスポンス）」が意識されがちだが、「事前対策」に該当するのがサイバーエクスポージャー管理である。

攻撃に悪用されるリスクを事前に識別して、あらかじめ対策するサイバーエクスポージャー管理の代表例は「脆弱性管理」だ。弊社ではソフトウェアだけでなく、脆弱な設定・構成・運用にまで広げて対処するソリューションを提供している。

＜IT資産の多様化がサイバーエクスポージャー管理の課題＞

よりすぐれたITサービスを提供してDXを推進する中で、パブリッククラウドやIoT機器に代表される新しい種類のIT資産が活用されている。

新しい種類のIT資産は、従来のIT資産とは異なる特性をもつことを把握しておきたい。そこで特性が異なるIT資産に存在するリスクを、管理・検出する必要がある。それぞれの特性に適したアプローチ・診断方法の必要性が、サイバーセキュリティ管理における最重要課題といえるだろう。

種類だけでなくIT資産の数も急増し、個々のIT資産は極めてダイナミックに動的に変化し続けている。また個々のIT資産が独立して動作するのではなく、連携・相互接続して動作する点にも留意が必要だ。

＜攻撃対象領域全体の最も弱いリンクが狙われる＞

セキュリティ的に重要な点は、攻撃者はそれぞれのIT資産が連携・相互接続している環境を悪用し、最も弱い部分を最初の侵入先のターゲットに選ぶことだ。

最初に侵入したポイントから、その他のIT資産に対して侵害を拡大する。つまり、すべての種類のIT資産がターゲットになりうる。

＜サイバーリスク軽減に向けた包括的なアプローチ＞

こうした事実を踏まえて、個々のIT資産に個別に対処するのではなく、包括的な観点からサイバーリスク軽減に向けたアプローチを行うのが、サイバーエクスポージャー管理のコンセプトだ。

個々のIT資産の特性に適した方法で診断し、リスクを一元的に分析する。リスクへの予防措置の優先順位を判断して、効率的にセキュリティを強化していくアプローチだ。

＜管理のポイント①正確な検出の重要性＞

3つのIT資産を例に、正確な検出の重要性をご紹介したい。

1例目は、ソフトウェアの脆弱性だ。2021年末に「Apache Log4j（アパッチ ログフォージェイ）」というログイン・ユーティリティに深刻な脆弱性が見つかった。悪用すれば任意のコードを攻撃対象で実行できるというタチの悪さと、検出が非常に困難という特徴がある。さまざまなセキュリティ担当者からは、使用中のツールで「Apache Log4j」の脆弱性を検知できず人手を介して1台1台確認した、という話を聞くことが多い。

「Nessus（ネサス）」は、1998年にリリースされた弊社Tenableのルーツとなる脆弱性診断ツールだ。正確な認知能力、対応している脆弱性のカバー範囲の広さ、豊富な実績から数多くのお客様に支持いただいている。Nessusの管轄は、弊社のTenable Researchという部門で、120人を超えるすぐれた専門技術者が、24時間365日、脆弱性の調査・分析作業にあたっている。

重要なのは新しい脆弱性が公開されると、それを検知するプラグイン（スクリプト）を原則として24時間以内にご提供している点だ。昨年末にApache Log4jの脆弱性が見つかった際にも、20時間程度で脆弱性を検知する能力を提供した。

ただしNessusも、万能ではない。異なる特性をもつ新しいIT資産には、別のアプローチが必要になる。クラウド基盤の不適切な構成や設定といった脆弱性には対応できないからだ。そこで役立つのが、2例目のIT資産であるクラウドに対応できる「CSPM」だ。

3例目のActive Directory（以下、AD）という認証基盤となるIT資産は、圧倒的なシェアを誇る。万が一、ADに何かあれば、すべてのサービスに影響を及ぼすことから最優先の保護対象だ。

しかし不適切な設定やイベントを検知するのは、簡単ではない。複数の構成要素を包括的に分析する必要があるからだ。

＜管理のポイント②継続的な監視＞

まずはソフトウェアを例に説明する。1年間に公開された新しい脆弱性の総数は、2017年から急速に増加し、2021年に2万件（1日あたり50件超）を突破した。

かつて脆弱性診断は、1年あるいは半年に1回実施されていた。しかし現在ではより短いインターバルで、可能であればスケジュール化する必要がある。

2例目のクラウドサービスは、利用する側のニーズに応じてアジャイルに活用できるという特性から、極めて動的かつ継続的に変化する特性も持つ。コードを継続的に取得して、リスクを監視する必要がある。

3例目のADの運用では、ユーザーの追加・削除や権限の割り当てなど継続的に更新が行われる。人為的なミスや誤りがあれば外部からの脅威にさらされるため、各種イベントのリアルタイム監視が重要だ。

＜管理のポイント③自動化と分析・リスク評価＞

膨大なIT資産を監視すると、数多くのセキュリティリスクが検出される。人の手で分析して対処の優先順位を判断するのは、現実的ではない。分析や評価の自動化が必要だ。弊社の製品であれば、ビジネスに対する影響・リスクを定量化して示す。優先度別にリスト化された対処を実施すれば、どの程度までリスク軽減につながるかも示されている。

＜管理のポイント④ライフサイクルを回す＞

検知され優先的に対処すべきものに対しては、具体的な修正を行うことでサイバーリスクを軽減できる。修正後は、有効に機能していることを確認することが重要だ。

「発見」「評価」「分析」「修正」「確認」からなるライフサイクルを、できるだけ短いインターバルで実行する。ライフサイクルを回すことにより、サイバーエクスポージャー管理を有効に実現することになる。

＜導入事例①三菱UFJ銀行様＞

三菱UFJ銀行様にはOSやサーバーの脆弱性や構成上の問題点に対処するために、弊社製品をご利用いただいている。ソフトウェアの脆弱性だけでなく、三菱UFJ銀行様が掲げるセキュリティ基準に準拠して設定・運用されているかチェックしたいという意向があった。

導入効果としては、脆弱性管理の自動化による管理集中化、つまり組織全体の脆弱性の状況を的確に把握できている。また主要なセキュリティ基準に準拠状況を評価するコンプライアンスチェックの自動化にも対応予定だ。

＜導入事例②SOMPOホールディングス様＞

SOMPOホールディングス様は、従来は脆弱性管理が属人的な対応になっていたた。ある資産の状況は特定の人しか分からないという状況にあった為、サイバーエクスポージャーに対して、誰でも対応可能な状況を実現したい要望があった。

現在ではグループ内にあるIT資産に対するリスクを可視化し、誰でも対応可能になったほか、クラウドおよびオンプレの脆弱性管理とADの要塞化も実現している。

＜さいごに＞

弊社では、お客様のご要望に応えるべく多彩なIT資産に対応するソリューションを数多くご提供している。本日のセミナー内容の詳細をお知りになりたい場合は、お問い合わせいただければ幸いだ。

◆講演企業情報
テナブルネットワークセキュリティジャパン株式会社：https://jp.tenable.com/