脆弱性管理：最適な脆弱性管理ツール

写真：eamesBot – shutterstock.com

脆弱性管理だけでなく、脆弱性を特定しパッチを適用しなければならないシステムも、年々大きく変化しています。現在の脆弱性管理システムは、もはやネットワークや自社ホスティングのアプリケーションだけに焦点を当てているわけではありません。オンプレミス、IoTデバイス、パブリックおよびプライベートクラウドインスタンスの両方で脆弱性を特定できる必要があります。また、企業のセキュリティチームが最適な意思決定を行い、脆弱性を修正できるよう支援する必要もあります。

システム内の脆弱性が悪用されない限り、大きな危険にはなりません。だからこそ、本当に危険なものを把握することが重要です。そうすることで、セキュリティホールを評価し、分類することができます。また、潜在的な影響も大きな役割を果たします。企業のウェブサイトが改ざんされるのは恥ずかしいことですが、機密情報の盗難はビジネスにとって致命的であり、高額な罰金につながることもあります。

優れた脆弱性管理プログラムは、脆弱性スキャンにコンテキストを追加する点が特徴です。大規模な企業ネットワークには何千もの脆弱性が潜んでいる可能性があるため、信頼性の高い優先順位付けとリスク最小化のためには、これが唯一の方法です。

脆弱性管理ツール：トップ6

以下の6つの製品は、脆弱性管理の少なくとも1つの側面で新たな基準を打ち立てています。

Qualys VMDR

Qualysは1999年に初のSaaS型脆弱性管理プラットフォームを提供しました。Qualys Vulnerability Management Detection and Response（VMDR）はクラウドサービスとして利用できます。ボイスエージェント、仮想スキャナー、パッシブネットワークスキャン機能により、オンプレミス、クラウド、エンドポイントで資産を特定することを企業に支援します。ダッシュボードは個別にカスタマイズ可能です。

収集された脆弱性データは、資産単位で調査でき、構成、稼働中のサービス、ネットワーク情報、その他のデータについてより深い洞察を得ることができます。「AssetView」機能により、セキュリティおよびコンプライアンスチームは自社にとって重要なデータに基づき情報資産を継続的に更新できます。Qualys VMDRが資産と脆弱性を特定し、リスクレベルで優先順位付けした後、ユーザーはプラットフォーム内でパッチを配布できます。

Orca Security

クラウドセキュリティポスチャ管理（CSPM）ツールであるOrca Securityは、Amazon Web Services（AWS）、Microsoft Azure、Google Cloudなどのクラウドインフラサービスの脆弱性を管理します。Orcaはクラウド向けに設計されているため、これらの環境に簡単に導入できます。

Orcaのサイドスキャニング技術により、ユーザーはクラウド環境をインベントリ化でき、オペレーティングシステムパッケージ、アプリケーション、ライブラリなどのデータを収集します。発見された各脆弱性について、システムは他の資産との関係を示すマップを作成します。これが優先順位付けに役立ちます。

企業のクラウドシステムにおける脆弱性の深刻度をグラフィカルに表示するため、ソリューションはクラウドシステムやワークロード、その構成やセキュリティ設定を分析します。さらにOrcaは接続性を管理し、どのネットワークが公開されているか、そうでないかを検出できます。これらすべてのデータから、脆弱性管理ツールはクラウドシステムのコンテキストで脆弱性の実際のリスクを評価しようとする可視化を作成します。関連する脆弱性データベースには20以上の異なるソースからのデータが含まれています。

Detectify

Detectifyの提供するサービスは、アタックサーフェスマネジメント（ASM）に分類されます。ASMは攻撃者の視点から脆弱性に焦点を当てます。企業IT資産、インターネット対応システム（クラウドインフラ、サードパーティシステム、ウェブアプリケーションなど）の継続的な検出で構成され、これらのシステムの脆弱性を特定し、優先順位付けや管理を支援します。

Detectifyはクラウドベースで動作するため、インストールは不要です。チェックしたいドメインを追加するだけで、関連するすべてのサブドメインやアプリケーションが継続的にチェックされます。スキャン活動は「サーフェス」と「アプリケーションモニタリング」の2つの領域に分かれています。前者は組織のインターネット資産をチェックし、発見されたホストの脆弱性や設定ミスなどを評価します。アプリケーションスキャンでは、ウェブアプリケーションやその脆弱性を継続的に評価します。Detectifyは本番環境、開発パイプライン、アプリケーションステージングのアプリケーションを評価します。

Detectifyの興味深い点は、自動化とクラウドソーシングの組み合わせです。同社はエシカルハッカーと協力し、その知見を取り入れています。これにより、企業システムは自動的に既存の脆弱性をチェックされる一方、経験豊富なセキュリティ研究者が未発見の脆弱性を探します。

Kenna Security 脆弱性管理

脆弱性管理ツールを使ったことがある人なら、さまざまなソリューションが異なる脆弱性を検出することを知っているでしょう。ローカルネットワークやクラウドアプリケーションの評価など、特定のタスクで他より優れているものもあります。

ここで登場するのがKenna Security Vulnerability Managementです。このソリューション自体はスキャンを行わず、「コネクタープログラム」を提供します。これにより、Tripwire、Qualys、McAfee、CheckMarxなど、ほぼすべての脆弱性スキャナーからデータを取り込むことができます。プラットフォーム自体はサービスとして提供され、ユーザーはクラウドポータルにログインして情報を確認します。

そのアイデアは、Kennaのソリューションが脆弱性アラートを収集し、それをリアルタイムで脅威データと照合することです。発見された脆弱性は、アクティブな脅威キャンペーンに関連付けられ、優先的に修正されます。世界中で悪用されている脆弱性は自動的に優先度が高くなります。これにより、防御側は攻撃者が発見・悪用する前に最も危険な問題を解決できます。Kennaプラットフォームは、リアルタイム脅威データを脆弱性管理に取り入れた最初の製品の1つであり、その後も追加の脅威データが拡充されています。

プラットフォームは、なぜ保護されたネットワークに脆弱性が存在するのかを説明し、修正のためのアドバイスも提供します。また、どの資産が影響を受けているか、問題の深刻度に応じて脆弱性の優先順位付けも可能です。リスクベースのサービスレベルアグリーメント（SLA）もプラットフォームに含まれており、企業のリスク許容度に基づいて問題解決のタイムフレームを設定します。リスク許容度が低い企業ほど、より早く脆弱性を修正する必要があります。KennaのリスクベースSLAは以下の3つの要素に基づいています：

• リスク許容度、

• 資産の優先順位、

• 脆弱性のリスク評価。

2021年以降、Kenna SecurityはCiscoの一部となっています。

Flexera Software Vulnerability Management

多くの脆弱性管理ツールは、社内開発のアプリケーションやコードに焦点を当てています。一方、Flexeraのソフトウェア脆弱性管理プラットフォームは、ほぼすべての企業が利用するサードパーティ製ソフトウェアに注目しています。

多くの場合、購入またはライセンスされたソフトウェアの脆弱性はパッチで修正されます。しかし、数千台のシステムや重要なサービスをオフラインにしなければならない場合、企業にとっては大きな問題となります。また、1つの問題を修正することで新たな問題が発生する可能性もあります。

Flexeraのソフトウェアは、企業全体で安全なパッチ管理プロセスを実現することでこの問題に対処します。このソリューションは、サードパーティ製ソフトウェアの脆弱性を検出し、管理者に潜在的脅威の深刻度を通知できます。数千人のユーザー向けに、わずかな脆弱性や企業でインストール・利用されていない機能のために包括的なパッチを配布するのは非効率です。Flexeraはコンテキストを提供し、必要なタイミングでパッチを提供することでこの課題をサポートします。

Flexeraプラットフォームを使えば、自動化されたパッチ管理システムも構築できます。さらに、カスタムレポートの作成も可能です。これは脆弱性・パッチ管理だけでなく、コンプライアンス（フレームワーク、法規制、ベストプラクティス）にも対応します。

Tenable.io

Tenableはセキュリティダッシュボードで知られています。Tenable.ioでは、同社の診断技術を脆弱性管理と組み合わせて提供しています。プラットフォームはクラウドで管理され、アクティブなスキャンエージェント、パッシブ監視、クラウドコネクタの組み合わせで脆弱性を検出します。攻撃者が成功しないようにどの修正が必要かを判断するため、Tenableのソリューションは機械学習、データサイエンス、AIを活用しています。

Tenable.ioの最大の強みの一つは、脆弱性が誰にでも分かりやすく表示される点です。特別なトレーニングや専門知識は不要です。アタックサーフェスマネジメント機能を強化するため、TenableはASMプロバイダーのBit Discoveryを買収しました。これにより、顧客は社内外の攻撃対象領域を包括的に把握できます。（fm）

ITセキュリティに関するさらに興味深い記事を読みたい方は、無料ニュースレターにご登録ください。セキュリティ意思決定者や専門家が知っておくべき情報を、直接あなたの受信箱にお届けします。