脆弱性診断ツールSPMを危機管理産業展(RISCON TOKYO)2023に出展しました

弊社が開発した、脆弱性診断ツールSPM(Secure Packages Management)を危機管理産業展へ出展してきました。危機管理産業展は防災・テロ対策、セキュリティ等のあらゆるリスクに対処することを目的とした国内最大級の危機管理総合トレードショーです。

 

危機管理産業展(RISCON TOKYO)2023
https://www.kikikanri.biz/

今回の出展にあたり、弊社セキュリティエンジニアが昨今のサイバー攻撃対策における課題やSPMを用いた解決策について講演をさせて頂きましたので、その内容について本コラムで紹介させて頂きます。

 

講演内容

「ひとり情シスでも始められる簡単・高精度なSPM脆弱性診断」

 

サイバー攻撃対策における課題

サイバーセキュリティ対策は、日本及び諸外国において喫緊の課題となっていますが、日本国内においても、セキュリティ人材の不足が深刻な問題になっています。

多くの組織・企業におけるサイバーセキュリティ対策は、情報システム部(情シス)が担当されることが一般的ですが、社内に情シスが一人しかいない「ひとり情シス」やITが得意な方が兼務されている「ゼロ情シス」という組織体制なってしまっている組織、企業が多く存在しています。このような背景の中、日々の業務(ヘルプデスク/PCのキッティング等)に忙殺され、必要とされるレベルのセキュリティ対策をとることが厳しい状況にあるお客様からのご相談をよく頂きます。

サイバーセキュリティ対策は、大まかにマネジメントと技術面の対策に分類することができ、本コラムで紹介させて頂く、SPMは技術面における既知の脆弱性対策に焦点を絞ったソリューションです。

 

SPMを利用することにより、これまで既知の脆弱性対策で発生していたお客様の負担を大きく軽減する効果を期待することができます。

 

<SPMを利用することにより軽減される負担>

・脆弱性情報の収集

脆弱性情報は、年間数万件報告されます。
SPMが世界中の脆弱性情報を日々収集するため、最新の情報をキャッチアップする際の負担を軽減します。

・内在する脆弱性の調査

公開されている、脆弱性が自社システムに影響するものかどうかをSPMが自動で分析します。

・従来の脆弱性診断で発生した事前準備等の手間

診断を実施するための準備フェーズで発生していた、検証環境の構築やFW/VPN機器の設定変更作業などの負担を無くします。
 

SPMとは

SPMは弊社独自に開発された脆弱性データベースと分析エンジンを有した診断ツールで、サーバにインストールされているソフトウェア(パッケージ)の脆弱性を非常に簡単・高速にスキャンすることができます。

【SPM紹介ページ】
SPMはたった3ステップの手順でサーバに内在する脆弱性を可視化することができ、サイバーセキュリティにおける知識を持たないお客様でも簡単に利用することができます。

SPMの特徴

SPMはこれまでの脆弱性診断における弊社の知見から生まれました。

<類似製品との違い>

本番環境やミッションクリティカルなサーバに対しても利用可能!

・ツール類のインストールや既存システムの設定変更作業が不要

重要インフラのような、他社バイナリツールのインストールが即座に難しいシステムに対してもご利用できます。

・高負荷・大量トラフィックの発生なし

従来の脆弱性診断等で発生していた、脆弱性スキャンによるトラフィック圧迫といった影響がほぼ0です。

・サーバ内部の脆弱性を可視化

これまでの脆弱性診断では、網羅的な診断が難しかったサーバ内部の脆弱性(ソフトウェアの脆弱性)を検査可能です。

 

※従来の診断はNW経由で診断するものが多く、外部から見て顕在化していない脆弱性は、検出が困難でした。

サーバ内部の脆弱性を調査ために、root等の管理者アカウントを払い出し、セキュリティエンジニアが直接システムへログインした状態から脆弱性を確認する手法も存在しますが、アカウント払い出しのための調整や、誤操作によるバックアップ準備などの手間が発生していました。

以上の特徴により、本番環境に対しても即座にSPMを利用することができます。また、従来の脆弱性診断で発生していた事前準備の手間を大幅(約60%)に削減することが期待できます。

 

SPMの特徴(優先準備付け)

SPMは今年2023年に新規機能を追加しました。

今回追加したSPMによる「優先順位付け」機能もこちらで紹介させて頂きます!
 

<背景:Linuxシステムにおけるパッチ管理の難しさ>

多くのLinuxディストリビューションでは、ソフトウェア(パッケージ)ごとにセキュリティパッチを配布しています。そのため、大量のソフトウェアアップデートをする際などに、互換性の影響調査や問題が発生した際の原因究明がWindows Updateと比較し難しいといった特徴があります。

※Windows OSにおけるセキュリティパッチは累積更新プログラムという方法で配布されることが多く、複数のセキュリティパッチが包含された状態で配布されます。

 

<ユーザからの声>

こうした背景の中、これまで下記のような声をお客様より頂いていました。

・内在する脆弱性にたいする実際の業務インパクトや攻撃可能性を可視化してほしい

・Webサービスの脆弱性など、インターネットからの攻撃が発生しやすい脆弱性はあるのか?

・どれから対策すべきか分からない。

今回SPMで追加した優先順位付けの機能は実際の攻撃可能性や業務インパクトを加味し、至急対策しなければならない脆弱性を明確化します。

優先順位付けすることにより、セキュリティ対策の負担を更に軽減することができます。

SPMが新たに分析する項目

・攻撃可能性

ソフトウェアの稼動状況や、サービスの稼動状況(TCP/UDPポート)

サーバの公開度(外部へ一般公開/非公開)

・業務影響度

サーバが保持する情報資産価値(極秘・社外秘・一般等)

 

ユーザをサポートする機能

脆弱性の分析や結果確認をSPM専用ポータルサイトから行うことができます。

ポータルサイトでは、サーバに内在する脆弱性を対策・管理していくうえでの便利機能を複数サポートしています。

・まとめてスキャン

複数台のサーバをグループ化する機能。(まとめて脆弱性の分析が可能)

・脆弱性サマリ・詳細

CVSS スコアによるリスクや脆弱性の内容を確認することができます。

・エクセル版レポート

検出された脆弱性やセキュリティパッチ情報をエクセル形式のレポートとしてダウンロードできます。

 

社会的な要請と継続的な対策に向けて

クレジットカードや製造業界等における各種ガイドラインにおいても、サイバーセキュリティ対策は準拠する上での必須要件となっています。

昨今では、安全保障の観点からも民間セクタも含めたセキュリティ強化が謳われており、サイバーセキュリティ対策の面においても、信頼・安全性が求められています。
 

各業界における例

・内部脆弱性スキャンにおいて、認証スキャンを実施(PCI DSS v4.0:要件11.3.1.2)

・2023年よりNIST SP800-171義務化が一部スタート

 

このような社会的な要請の中、情報処理推進機構(IPA)は毎年、実際に発生した事例等を元に情報セキュリティ上の脅威を「情報セキュリティの10大脅威」としてランキングしています。

日々新たな脆弱性や攻撃手法が公開されている中、IPAは様々な攻撃の糸口を5つに分類し、それに対する共通の対策として「情報セキュリティ対策の基本」を報告しています。

情報セキュリティ対策の基本は攻撃の糸口に変化がない限り、継続的なセキュリティ対策が期待できる対策であり、SPMはソフトウェアの脆弱性に対する継続的な対策効果が期待できるソリューションになっています。

 

【出典】 IPA:情報セキュリティ10大脅威 2023より
https://www.ipa.go.jp/security/10threats/10threats2023.html
情報セキュリティ対策の基本