脆弱性スキャン：完全ガイド

脆弱性スキャンとは、システムとそこで動作するソフトウェアのセキュリティ上の弱点や欠陥を特定するためのプロセスです。これは、データ侵害から組織を守る脆弱性管理プログラムの一環です。 

IT部門やサードパーティのセキュリティサービスプロバイダーは、脆弱性スキャンツールを使用して脆弱性がないかスキャンします。これにより、脅威や攻撃が発生した際に対策がどの程度効果的であるかを予測することができます。

このブログ記事では、脆弱性スキャンを定義し、その仕組みがわかる6つのステップ、サイバー戦略における脆弱性スキャンの重要性、よく検出される脆弱性、ベストプラクティス、お勧めのツールを取り上げます。

では、始めましょう！

脆弱性スキャンが重要である理由

脆弱性スキャンについて、NISTは次のように定義しています。

「ホストやホストの属性と、関連する脆弱性を特定する手法」

脆弱性スキャンソフトウェアを使用すると、脆弱性がある箇所がわかるだけでなく、修正するためのサポートが得られ、修復作業に優先順位を付けることができます。

脆弱性スキャンを定期的に行う組織は、セキュリティに真剣に取り組んでいると言えるので、顧客、パートナー、関係者からの信頼も高まります。脆弱性スキャンは、NIST、PCI DSS、HIPAAなどの規制で求められるサイバーセキュリティのコンプライアンスを達成する有用な手法でもあります。

セキュリティスキャンと脆弱性スキャンの違い

脆弱性スキャンは、システムやソフトウェアに潜むセキュリティ上の欠陥や脆弱性の特定に焦点を当てたスキャンです。一方、セキュリティスキャンはもっと広い意味を持つ用語であり、脆弱性だけでなく、以下に挙げるようなスキャンも含まれます。 

• ポートスキャン
• ネットワークマッピング
• Webアプリケーションスキャン 

脆弱性スキャンとセキュリティスキャンは包括的なセキュリティ戦略の一端を担うものであり、攻撃者に悪用される前に潜在的なセキュリティリスクを特定して対処するのに役立ちます。

脆弱性スキャンのプロセス

脆弱性スキャンは継続的なプロセスです。定期的に実行することで、常に新しい脅威や脆弱性に先手を打つことができます。以下にそのプロセスを順を追って説明します。

1. 資産インベントリの作成：脆弱性スキャナーがネットワークに接続されているすべてのシステムを特定してインベントリを作成します。デバイスごとに、OS、ソフトウェア、開放ポート、ユーザーアカウントも特定します。
2. 攻撃対象領域のスキャン：次に、脆弱性スキャナーがネットワーク、ハードウェア、ソフトウェア、システムをスキャンして、潜在的なリスクの露出と攻撃ベクトルを特定します。
3. 脆弱性データベースとの照合：脆弱性スキャナーが攻撃対象領域に既知の欠陥(CVEの脆弱性など)や機密データにたどり着く可能性がある経路がないかチェックします。
4. 検出と分類：脆弱性スキャナーがシステムの弱点を検出および分類し、悪用される危険のある脆弱性を特定します。
5. レポートの作成：脆弱性スキャナーが脆弱性とその修正方法についてレポートを作成します。組織ではそれに基づいて対応の優先順位を付けます。
6. 修復の実施：脆弱性スキャンレポートに基づいて、特定された脆弱性に対処するための措置を講じます。これには、パッチの適用、ソフトウェアのアップデート、システムの再構成、別のセキュリティ対策の導入などがあります。

脆弱性スキャンの種類

脆弱性スキャンには、認証スキャンと非認証スキャンの2種類があります。それぞれのスキャンについて、以下で詳しく説明します。 

認証スキャン

認証スキャンは、ターゲットシステムの有効なアカウント認証情報またはアクセス権を必要とします。このスキャンでは、非認証スキャンではアクセスできない隠れた脆弱性も特定できる可能性があり、システムに関するより深いインサイトが得られます。 

設定ミス、パッチの不足、そして外部からはわからない脆弱性を検出できます。

非認証スキャン 

非認証スキャンは外部から実行するため、特定の認証情報やアクセス権を必要としません。このスキャンでは、以下に挙げるような外部から見つけることができる脆弱性を特定します。 

• 開放ポート
• 古いバージョンのソフトウェア
• 一般的な設定ミス

ただし、このスキャンでは特権アクセスが必要な脆弱性や詳しいシステム情報までは特定できません。

スキャンで検出できる一般的な脆弱性

どのような脆弱性を検出できるかは、使用するスキャンツールとスキャンプロセスの設定によって異なります。一般には以下のような脆弱性を検出できます。

• システムの設定ミス：デフォルトの設定や脆弱な設定のままだと、攻撃者に悪用される可能性があります。
• 古いソフトウェア：既知の脆弱性が含まれるバージョンは、最新のパッチやセキュリティ修正で更新する必要があります。
• 脆弱なパスワード：システムやアカウントに不正アクセスするために悪用されます。
• パッチの不足：既知の攻撃手法に対して脆弱です。
• 開放されたポートやサービス：攻撃者が侵入経路として悪用する可能性があります。
• 安全性の低いシステム設定：機密データが露出したり、不正アクセスを許してしまう可能性があります。
• デフォルトの認証情報：デバイスが悪用されやすくなります。
• 安全性の低いネットワークプロトコルを使用するシステム：SSL/TLSの古いバージョンなどが該当します。

脆弱性スキャンのベストプラクティス

脆弱性スキャンのベストプラクティスをいくつか紹介します。

• フレームワークを確立する：前述の6ステップのプロセスに対応するフレームワークを確立し、それを文書化して、脆弱性スキャンプロセスを実行する際に使用します。
• 継続的にスキャンする：脆弱性が悪用される前に、潜在的なセキュリティの欠陥を見つけて対処できるようになります。
• すべてのデバイスをスキャンする：ファイアウォールの内側の安全な社内ネットワークにあるシステムも含め、エコシステムに接続されているすべてのデバイスを対象にします。
• 重要な資産には責任者を割り当てる：脆弱性の特定と対処を迅速に行えるようになります。
• パッチ適用プロセスに優先順位を付ける：特定した脆弱性の重大度に応じて優先順位を決めます。
• すべての結果を文書化する：脆弱性を追跡して迅速に対応できるようになります。
• 複数のツールを使用する：アプローチが異なる2つ以上のスキャナーを使用するなどして、各ベンダーの結果を比較することで、見落としを防ぐことができます。
• インストルメンテーションツールを使用する：非常に正確で実用的な結果が得られるため、セキュリティチームのトリアージの負担を軽減できます。
• さまざまな攻撃ベクトルを特定する：ビジネスに適した脆弱性スキャナーの選定につながります。

サイバーセキュリティにおけるお勧めの脆弱性スキャンツール

脆弱性スキャンツールは、自動スキャン機能、詳細なレポート、他のセキュリティツールとの統合機能を備えているため、組織のセキュリティ態勢を強化できます。また、セキュリティチームの時間と労力を削減できます。 

どのツールが適切かは、具体的な要件、予算、組織インフラの複雑度によって変わってきます。ここでは、サイバーセキュリティ分野におけるお勧めの脆弱性スキャンツールをいくつか紹介します。

• Nessus：汎用性の高い脆弱性スキャナーです。大規模なデータベースを使用し、頻繁に更新されます。 
• OpenVAS：柔軟でコスト効率に優れたオープンソースの脆弱性スキャナーです。一般的なセキュリティの問題をテストできます。 
• Nexpose：重大な脆弱性を特定して、修復作業に優先順位を付ける脆弱性管理ソリューションです。 
• Burp Suite：Webアプリケーションのセキュリティテストツールです。一般的な脆弱性を特定し、インタラクティブなスキャンを実行できます。プロキシ機能やセッション分析などを利用できます。

このブログはこちらの英語ブログの翻訳です。