進化する脆弱性管理〜アタックサーフェスの盲点を可視化する

＜アタックサーフェスとは＞

本題に入る前にまずアタックサーフェスとは何かを解説したい。アタックサーフェスは攻撃対象領域と訳されるが、これではよく理解できないという人の方が多いのではないだろうか。「サイバー攻撃の対象となり得るIT資産」と考えると分かりやすい。代表的なアタックサーフェスはクラウド上で稼働している公開ウェブサーバーである。

アタックサーフェスになりえるものは、まずウェブサーバー上で動くウェブアプリケーションのコンテンツ。さらにウェブアプリケーションを動かすためにプラットフォームとしてHTTPD WEB Serverが存在している。ソフトウェア本体に潜む脆弱性もアタックサーフェスになり得るし、本体だけではなくウェブサーバーが連携する各種ソフトウェア、フレームワークの脆弱性も攻撃対象となり得る。ウェブサーバーを稼働させる仮想マシンを動かすOSの脆弱性も同様だ。クラウド上の場合は仮想マシンを構成するため、クラウド基盤の設定ミスもサイバー攻撃の対象になる。こうした様々な種類のアタックサーフェスに包括的に対応することが、これからの脆弱性管理に求められている。

＜アタックサーフェスの多様化＞

アタックサーフェスが多様になっているのは、デジタル化が進展する中で、より高度なITサービスを迅速かつ柔軟に提供することが求められるようになったからだ。そのためにテクノロジーが進歩し、IT資産の種類が多様化し、迅速かつ柔軟にサービスを提供するためのコンポーネントが実用化された。サービスは便利になったが、セキュリティ的な側面から見ると、新しい種類のIT資産が増えることによりアタックサーフェスが多様化し増大した。新しい攻撃対象はアジャイルでニーズに応じて柔軟に変化する。相互に連携してサービスを提供するため、特徴の異なる様々な種類のIT資産とアタックサーフェスを包括して対応していかなければならない。

＜Tenableの紹介＞

Tenableは2002年にアメリカで設立された脆弱性スキャナーNessusの開発元で、社名よりも製品名の方が知られているかもしれない。創業以来、Nessusのテクノロジーを中心にし、より正確に脆弱性を検知するために、機能を拡張し、Nessusが集めてきた脆弱性を管理するためのソリューションを提供してきた。ここ数年は、企業買収や自社開発を行い、新しい種類の脆弱性に対応するために、ポートフォリオの拡張を積極的に行っている。

元々Nessusはソフトウェアの脆弱性を検知するために作られたものだった。しかし昨今のサイバー攻撃に対応するには、ソフトウェアの脆弱性を検知するだけでは対処しきれない。攻撃する側は脆弱性の種類は選ばない。様々な種類のアタックサーフェスを包括するソリューションが求められている。

しかし、アタックサーフェス全体に対して脆弱性を見つけていれば、適切に対処できるわけではない。ソフトウェアの脆弱性を診断にかけると無数の脆弱性が発見される。膨大な数の脆弱性が発見され、「どこから対処すればいいのか分からない」という状況に陥る。これからの脆弱性管理は、膨大な数の脆弱性から「何が最も大きなリスクをもたらすか？」「どこから優先的に対処すべきなのか？」という答えを見つけ出す分析機能が必要である。

＜エクスポージャーを管理するTenable One＞

アタックサーフェスに潜む新しい脆弱性を表す言葉として、エクスポージャーという言葉が使われている。テナブルが提供するエクスポージャーを包括的に管理するためのプラットフォームが「Tenable One」というソリューションである。

まず対応しなければならないことは、多様化するアタックサーフェスに潜むエクスポージャーを適切に見つけ出すことである。Tenable Oneはあらゆる種類のアタックサーフェスに対応できる各種サービスを用意している。

そしてTenable Oneは各種サービスが集めてきたエクスポージャーを、一元的にこちらに集約し分析する。膨大な数のエクスポージャーの中で、「どのエクスポージャーが最も組織に対してリスクをもたらしているのか？」を分析プラットフォームは対処の優先度を含めて提案する。

Tenable Oneがエクスポージャーを見つける基本サービスを紹介する。まず1つ目は「脆弱性管理」で、テナブルが創業から行ってきている分野だ。ソフトウェアの脆弱性に対する対処も引き続き行っていかなければならない。プラットフォームやソフトウェアに潜む脆弱性を適切に見つけ出し、対策を迅速に行うことを支援する。

2つ目は「ウェブアプリケーションスキャニング」だ。各種サービスごとに、カスタムアプリケーションとして作られるコンテンツを検知し、カスタムコードの中に存在する脆弱性を見つけ出す。3つ目は「クラウドセキュリティ」だ。パブリック・クラウド・インフラは、便利な反面、新たなアタックサーフェスを生み出す。パブリッククラウドの基盤の上に実際にサービスを構築する場合、論理的に構成されるビルドという段階がある。次にビルドされた環境が実行される。そして、インフラストラクチャーを使ってサービスが運用されるという、複数のステップが存在する。この複数のステップごとに、存在するアタックサーフェスに対して適切に対処していく。

＜Tenable Oneの5つの機能＞

Tenable Oneの中身で代表的なものの1つ目がIaCに対するセキュリティ対策だ。従来のワークフローであればクラウド上にインフラストラクチャーを構築するのが最初のステップだった。毎回管理画面を使って手動で作業をすると人為的な設計ミスが発生しやすくなり、運用負荷も高くなる。これらの作業を自動化したのがIaCだ。一連の作業をテンプレート化し、必要なインフラストラクチャーが自動生成される。一方、自動的に構成されるインフラストラクチャーが脆弱な状態で作られてしまう可能性もある。

そこで2つ目の機能CSPMが脆弱な状態のインフラを作る手順が組み込まれていないかテンプレートをチェックする。実際にインフラストラクチャーが作られた後にサービスが稼働する。稼働状態の各種インスタンス、仮想サーバー、ネットワークが提供するAPIを通じて、適切な状態で運用されているのもチェックする。

3つ目はエージェントレスアセスメントという機能だ。「エージェントレスアセスメント」とは「方式」を表し、クラウド専用でソフトウェアの脆弱性を識別するための機能である。この方式は稼働中の仮想サーバーに一切負荷をかけない所がメリットだ。

4つ目が「認証セキュリティ」である。アクティブディレクトリ（以下ADと表記）による認証ソリューションが注目を浴びているのは、ランサムウェアによる被害が増加しているからだ。ランサムウェアによる攻撃の場合は、侵入経路の中でADが悪用される。少し前に流行ったQuantumランサムウェアが拡散した例では、第一段階でwindowsの脆弱性が悪用された。ショートカットをクリックすることを起点として、ADの問題点を悪用する形で、ランサムウェアが拡散した。ADが脆弱になる原因はいくつか考えられるが、その中でも特に「隔離神話」が大きな原因である。ADは認証基盤として使われる。認証基盤が利用できなくなった場合は全てのITサービスが影響を受ける。そのために継続稼働が最優先され、外からアクセスできないようにすることでADが継続運用されていた。しかし、テレワークの普及で隔離親和は、既に機能しない時代に入っている。そうした状況により、ランサムウェアの被害が増えてきている。

ADがリリースされてから20年以上が経過しているが、機能の追加もあり非常に複雑なサービス体系になった。ADのセキュリティを確保するためには、設定スキーマ、ユーザーオブジェクト、GPOの構成、など様々なものをチェックする必要がある。またチェックするためには専門知識が必要になる。これがADのセキュリティ対策を難しくしている原因だ。

アイデンティティエクスポージャーはADサービス各分野に存在する弱点を見つけ出して、具体的な対応を情報として提供する。専門的な知識不要でサービス内で使用できる。ADサービスのような、ユーザーの追加や修正などの日常業務を健全な状態で保つためには監視と対策を、継続的に行う必要がある。アイデンティティエクスポージャーはADの中で発生するイベントを、リアルタイムにモニターして、継続的な監視、弱点の可視化をする。

最後5つ目はアタックサーフェス管理で、外部公開資産、インターネットに公開している資産を見つけ出してくるサービスだ。内部のIT資産の場合は様々な形でポストの発見ができる。インターネットに公開している資産に関しては、キャンペーンのように自社が管理していないインフラストラクチャーに、自社ドメインの資産が、構築されるというケースも増えてきている。そうしたインターネットに公開されているIT資産を見つけ出し、適切に脆弱性やウェブアプリケーションのセキュリティの確保を支援する。

＜Tenable Oneの分析機能＞

Tenable Oneの最大の特徴が、異なる種類のアタックサーフェスに存在するエクスポージャーを分析し、「どのエクスポージャーが組織に対して最も大きなリスクをもたらすか？」「合理的、効率的にリスクを軽減するためのアクション」を提示するということだ。

「エクスポージャービュー」はリスク状況を表すスコアカードの役割を果たす。グループ化されたIT資産に対して、現在のリスク状況を定量分析して提示する。2つの指標からリスクスコアを算出する。1つ目は脆弱性やクラウドの構成の不具合などの発見されたエクスポージャーそのものがもたらすリスク、エクスポージャーが存在するIT資産の重要度を示す。

さらに、その対処が適切に行われているかをグラフィカルに提示する。

2つ目の「アセットインベントリー」はTenable Oneがカバーする全ての種類のアタックサーフェスのインベントリーを包括的に管理し、現在の個々のIT資産のリスクスコアが確認できる。

3つ目の「アタックパスアナリシス」は攻撃経路の分析を行う機能を持っている。エクスポージャービューの機能をさらに進めて、攻撃経路を遮断する具体的な情報を提示する。実際のサイバー攻撃は複数のエクスポージャーを使って、段階を踏んで侵略してくる。仮に脆弱性を突かれたとしても、ADの側に悪用される問題点がなければ攻撃は成功しない。攻撃の経路で使われる各種エクスポージャーを識別して、その中のどこかで攻撃を遮断する。集約されたエクスポージャー情報の相関分析を行う。以上アタックサーフェスと脆弱性管理の最先端ツールTenable Oneについて解説させていただいた。

◆講演企業情報
テナブルネットワークセキュリティジャパン株式会社：https://jp.tenable.com/