脆弱性対策が進まない企業によくある2つの特徴

相次ぐ標的型攻撃に企業はどう備えるべきか。セキュリティ侵害に遭う企業に共通する2つの原因について、エキスパートが米国の最新事情を交えながら解説します。

IT資産管理とリスクの優先的対応がカギ

米Tripwire エリザベス・アイルランド氏

相次ぐ標的型攻撃に企業はどう備えるべきか。米Tripwireのマーケティング担当バイスプレジデント、エリザベス・アイルランド氏は、企業がセキュリティ侵害に遭う原因として「設定の不備」「パッチの未適用」の2つを挙げる。

企業のLANには、多種多様なネットワーク機器やサーバ以外にも、従業員のノートPCやモバイルデバイスなどが常時接続されている。これらはその数や構成を変え、取り扱う情報も日々変化している。その結果、LANのリスクレベルも複雑に変化し、正しい設定やパッチが適用されないままの機器が野放しになる。

だが、IT資産管理を徹底し、それぞれのセキュリティリスクを収集できたとしても、台数が多いとどこから手を付けていいのか分からなくなる。セキュリティ製品から警告が出ていたにもかかわらず、対策の優先順位を見誤って、約7000人分もの個人情報を漏えいさせた米国の小売り大手企業の事件も記憶に新しい。

これらを整理すると、今やるべきセキュリティ対策は大きく次の2つがある。

LAN内のIT資産と脆弱性を定期的に洗い出す
対処すべき脆弱性の優先順位を付ける

加えて、検出可能な脆弱性項目の規模、継続的な取り組みを補助するリポート機能、部分展開から全体展開までをサポートできる柔軟性があれば、さらに高いレベルで対策が施せる。

脆弱性発表から24時間以内に検出ルールを展開

TripwireはIT資産管理やプロファイリング、脆弱性、リスク管理における製品・サービスとして「Tripwire Enterprise」「Tripwire IP360」などを提供してきた。トリップワイヤ・ジャパンは2014年4月、Tripwire IP360の新バージョン「Tripwire IP360 7.3」を発表。また、クラウドベースの脆弱性管理を実現する「Tripwire PureCloud」の提供を開始した。これらの製品・サービスによって、アイルランド氏は「あらゆる規模の企業にとって、脆弱性管理の導入が容易になる」と説明する。

Tripwire IP360は、LAN内の機器のOS、アプリケーションといった情報を検出し、包括的なセキュリティリスク管理を実現するエージェントレス方式のアプライアンスだ。収集した情報からコンプライアンス対応状況を分析し、資産価値と脆弱性スコアに基づき優先順位を提示する。今すぐ改善が必要な箇所が一目で分かり、効率的にリスク管理できる製品だ。

包括的なリスク管理が可能なTripwire IP360

ここからは、Tripwire IP360の新バージョンの特徴を紹介していこう。

1つは、仮想アプライアンス版の提供だ。以前はハードウェアのアプライアンスのみの提供だったが、この仮想アプライアンス、後述するクラウドサービス（PureCloud）の3つの中から自社に最適な対策が選択できる。「VMware ESXi」「VMware Workstation」「VMware Fusion」「Oracle VM VirtualBox」といったハイパーバイザーや仮想化ソフトウェアで稼働する。

また、Webアプリケーションのスキャン機能も強化した。Webアプリケーションのセキュリティ向上を目的として活動するコミュニティー「OWASP（Open Web Application Security Project）」が毎年発表しているリスクランキング「OWASP Top 10」を含むなど、さらに幅広い脆弱性情報をより高速に検出できるようになった。

加えて、OSフィンガープリンティングエンジンの再設計によるOS特定機能の向上、アップグレードプロセスの合理化による速やかなバージョンアップへの対応、拡張機能やユーザー支援機能などのコマンドラインインタフェースへの追加など、運用のしやすさを意識したさまざまな改善が施された。

Tripwire IP360のダッシュボード画面

業務内容に基づき優先順位を決定

さらに特筆すべきは、優先順位付けの精度だ。Tripwire IP360は、業務内容に基づきIT資産の重要性やリスクを判断し、優先順位を決定する。

例えば、経理部門のデータベースサーバと、会社情報や製品紹介などの情報発信しかしていないWebサーバとでは、漏えい時の深刻度は異なる。こうした判断に加えて、エクスプロイト（悪意を持って利用されるプログラムの実行）の容易さ、侵害が生じた場合の影響の大きさなど、多角的に問題を検証してリスクスコアを付ける。攻撃の難易度が低くても、その組織に及ぼす影響が大きければ高いスコアが付く。

「Tripwire IP360は、スキャンしたネットワークからビジネスリスクを分析し、高リスクのものをハイライト表示で明確に提示することができる。これにより、迅速な対策を実行できる」（アイルランド氏）

Tripwireの製品は、ネットワークをスキャンして完全に可視化し、その中に潜む脆弱性を洗い出すことができる。同社の脆弱性調査チーム「Vulnerability & Exposure Research Team（VERT）」は、絶えず脅威を監視し、新しい脆弱性が発見された際はすぐに検出ルールを作成して、同社製品に展開する。

現在、脆弱性検出項目数は9万3000項目に及び、市場最多を誇る。2014年4月に発見されたOpenSSLの脆弱性についても、いち早く検出ルールを展開している。

2014年4月に提供を開始した「Tripwire PureCloud」は、Tripwire IP360をベースとしたクラウド型ネットワーク脆弱性診断サービスだ。外部に公開するWebサーバはもちろんのこと、社内ネットワークのIT資産を含めて検出から脆弱性スキャンまで実施する。

特にハードウェアやソフトウェアを導入する必要はなく、企業担当者はTripwire PureCloud専用サイトにアクセスし、Webブラウザ経由でスキャン実行を予約するだけだ。調査結果のリポートは、概要やサーバ別詳細リポートで閲覧できる。過去のリポートと比較して、対策状況を確認することも可能だ。

Tripwire PureCloudの利用イメージ

「Microsoftが重大と警告した脆弱性については、発表から24時間以内に対応している。迅速な検出ルールの展開で、企業ネットワークがリスクにさらされる期間を短縮できることがTripwire PureCloudのメリット」とアイルランド氏は説明する。

リスクレベル50％減を達成したアイオワ州

米国では、既に多くの導入事例があるTripwire製品群。その1つとして、アイルランド氏はアイオワ州の事例を紹介した。

アイオワ州では、州政府の関連機関で何千台ものデバイスが稼働しているにもかかわらず、これまで脆弱性管理などのセキュリティ対策を何も実施していなかった。そのため、リスクがどこに内在するかが分からず、いつ情報漏えいやセキュリティ侵害が発生してもおかしくない状況にあったという。

そこで、州知事はCISO（最高情報セキュリティ責任者）を任命し、製品選定を実施。その結果、採用されたのがTripwire IP360とTripwire PureCloudだった。

当初は、規模の大き目な州政府組織にTripwire IP360を導入するなど、部分展開を実施。その後、小規模な組織へと広げていった。郡の施設など、セキュリティ担当者がいない小規模な施設については、Tripwire PureCloudを採用した。「現在は98％まで導入が進んだ」（アイルランド氏）

導入した結果、リスクレベルは大幅に削減されたという。「2012年10月に計測したリスクレベルから、2013年度には前年度比50％までリスクスコアを下げることができた。デバイス別で見ても、リスクレベルの目標値まであと少しのところまで達成した」（アイルランド氏）

無償スキャンサービスも近日公開予定

Tripwire製品群の今後について、アイルランド氏は「検査可能な脆弱性情報の項目をさらに充実させ、クラウドやモバイルデバイスへの対応も進めていく。また、状況を一目で把握できるよう、リポート機能もより一層強化していく予定だ」と述べる。

また、現在米国で先行して提供されている「Tripwire SecureScan」を、日本でも近日中に公開予定という。Tripwire PureCloudをベースとしたスキャンサービスで、無料で利用できる。小規模企業を対象にしたサービスだが、同社製品の操作性や機能、有効性を簡易的にでも検証できるので、本格導入を検討する企業であれば製品選定のツールとしても活用できる。

「Tripwireは、これまでも製品開発へ惜しみない投資を実践し、製品ポートフォリオの拡充や機能強化を行ってきた。今後の展開にも、ぜひ期待していただきたい」（アイルランド氏）

（2014年5月7日／ ITmedia TechTarget 掲載記事）