2月に東陽テクニカと国内総販売代理店契約を締結したテナブル・ネットワーク・セキュリティ(Tenable Network Security)のCEO兼創業者、ロン・グーラ(Ron Gula)氏が来日し、大規模な情報流出事件から学ぶべき教訓について語った。
テナブル・ネットワーク・セキュリティ CEO兼創業者のロン・グーラ氏
Target社の漏えい事件に学ぶセキュリティ対策の課題
テナブル・ネットワーク・セキュリティの「Nessus」は、ネットワーク内を全走査してあらゆる脆弱性を洗い出す脆弱性スキャナだ。脆弱性検証ツール「Metasploit」などのペネトレーションテスト製品を使っている人にとっては、なじみ深い名前かもしれない。
そのNessusを中核とした「SecurityCenterファミリ」は、トラフィックを監視して脆弱性をスキャンする「パッシブ脆弱性スキャナ」、ログ収集と相関分析を行う「ログ相関エンジン」、解析結果を含め一元管理できるダッシュボード「SecurityCenter/SecurityCenter Continuous View」(以下、SecurityCenter)で構成される。SecurityCenterは、Nessusによるアクティブスキャニング(無制限)、脆弱性データベースの日次アップデート、コンプライアンスレポートおよび監査、モバイル端末の検出およびスキャンなどを備える。Snortなど他のツールのスキャン結果を集約、まとめて解析することも可能だ。
テナブル・ネットワーク・セキュリティのWebサイト
テナブル・ネットワーク・セキュリティ CEO兼創業者のロン・グーラ氏は、多くの企業が抱えるセキュリティ対策の課題で、象徴的な例として昨年末に発覚した米Target社の事件を取り上げた。これは小売大手の企業から、約4000万件のカード情報と7000万件の個人情報が流出したというきわめて大規模な事件だった。
Target事件の発覚当初は、POS向けに開発された「Trojan.POSRAMM」マルウェアが原因とされていた。だがおよそ1カ月後、実は保守作業用に空調業者に与えていたネットワークログイン情報を攻撃者が盗み出し、それを悪用してネットワークに侵入していたことが発端と判明する。しかも、侵入に対して攻撃検知製品がアラートを上げていたにもかかわらず、担当者がそれを無視していたというおまけ付きだ。
この事件における問題点は大きく2つある。1つは、顧客情報へアクセスできるログイン権限を空調業者に与え、そのリスクを認識していなかった、または制御できていなかったこと。もう1つは、攻撃検知製品が上げたアラートの重要性を適切に判断できなかったことだ。
グーラ氏は、「ネットワークが大規模になるほど、『何がネットワークにつながっているのか』という非常にシンプルな問いにすら答えられなくなる。また、一口に『脆弱性』といっても、エクスプロイトの容易さや悪用のされやすさはまちまちだ。それを性格に把握することは難しい」と理解を示しつつも、それこそが実現されるべき重要なポイントだと語る。
可視化、優先順位付け、パッチ管理の3つがポイント
グーラ氏は、これからのセキュリティ対策で必要なポイントとして、3つを挙げた。
1つは、ネットワーク内の資産および脆弱性の正確な可視化だ。テナブルのソリューションでは、まずSecurityCenterがホストスキャン、ネットワークスニッフィング、ログ収集を実行してネットワーク内を“総ざらい”する。そして、得られた結果に対し、Nessusが6万項目を超える脆弱性情報を基に脆弱性を検出する。
「特にネットワーク内の資産を完全に可視化することは重要だ」とグーラ氏は指摘する。ある企業にSecurityCenterを導入し、ネットワーク内のホストと脆弱性の状況を可視化したのが次の写真だ。
ある企業における脆弱性の状況(上グラフ)と、ネットワーク内のホストの状況(下グラフ)。脆弱性状況グラフは、一番上の線から中レベル、高レベル、重大レベルの脆弱性を示す。またホスト状況グラフは、ネットワーク内ホスト数、IDSが監視するホスト数、監査対象ホスト数を示す
「通常は脆弱性のレベルに目を奪われてしまう。だが、ここで問題なのはむしろ下のグラフだ。このネットワーク内には5000台近くのホストがあるが、IDSの監視対象は1000台程度。つまり約4000台が(監視されず)見逃されている。これでは『何も見ていない』のと同じだ」。グーラ氏は、マルウェア探しや監査も重要だが、まずはその前に可視化ありきだと強調した。
2つめは、対処に関する優先順位付けだ。先に挙げたTarget事件では、IDSのアラートを担当者が無視してしまっていた。
「今日のシステムは、対処すべきセキュリティ事項が多すぎて、一方で対応できる人員は不足している。ここでは発想を変えるべきだ。つまり、すべての脆弱性を修正できないのであれば、“最も重要なもの”から対処するということだ」(グーラ氏)
すべての脆弱性が、すぐさま深刻なリスクや問題につながるとは言えない。たとえば、最近話題の「Heartbleed脆弱性」はエクスプロイトが簡単で深刻度は高いが、あらゆる脆弱性をHeartbleedと同等に扱う必要はない。
SecurityCenterでは、ネットワーク全体の構成を把握したうえで、脆弱性とエクスプロイトの容易さに応じて優先順位を付ける。「たとえばTarget社の例であれば、空調業者に与えたIDの権限を使って、POSやその他の重要なシステムにアクセスできるかどうかなども把握できる。不適切な関係を見つけ出して、対応を提案できる」(グーラ氏)。
最後はパッチ管理だ。たとえば、組織内の共通ルールとして「(最低でも)30日おきにセキュリティパッチを適用すること」と定められているとする。ある部門は30日おきに、また別の部門は毎日、パッチを確認/適用していた。どちらの部門もルールには準拠しているが、“30日おきにパッチ”の部門のほうがリスクが高いのは自明だろう。
SecurityCenterは、各グループがどういう頻度でパッチを適用しているのかを色別で表示し、潜在的なリスクを評価できる。“30日おき”部門がパッチ適用間隔を短縮すればそれも明確に分かるので、リスク軽減の取り組みの進捗も把握可能だ。
「継続的監視」に対する日本市場の可能性を探る
今回の日本市場進出の理由について、グーラ氏は「Continuous Monitoring(継続的監視)」と呼ばれるセキュリティトレンドの、日本における影響を知りたいからだと説明した。
「マルウェアについては即時発見/駆除が当然になっているが、これまで監査はじっくり時間をかけるのが通例だった。しかし、現在では監査もリアルタイムに実施したいというニーズが高まっている。(監査プロセスを変えることは)組織的、政治的な判断を要し、デリケートな課題であるのは承知している。それを踏まえたうえで、テナブル製品がそれをどうサポートできるのかを考えていきたい」(グーラ氏)
日本市場に対しては、さまざまなプランを用意しているとグーラ氏は言う。「まずは、パートナーや顧客と積極的に対話し、深く理解するところから始めたい」(同氏)。
