人力脆弱性収集プログラムで脆弱性にいち早く対応
こうした状況を打開すべく、DVLabsが推進しているユニークなプログラムが、「Zero Day Initiative」である。これはセキュリティ研究者にメンバーとして登録してもらい、脆弱性や攻撃につながる情報を報告してもらう、いわゆる「人力脆弱性収集プログラム」である。
ユニークなのは、報告された脆弱性に対してインセンティブ(報酬)を得られるという点。「50カ国約1000人近くの研究者が登録しています。2005年に設立されて以来、実に1600件以上の脆弱性の事例が挙げられており、そのうち400件にインセンティブが与えられています」とエンドラー氏はこれまでの高い実績をアピールした。
集められた脆弱性情報は同社のシグネチャに活かされ、ゼロデイ攻撃を防ぐことが可能になる。また、ソフトウェア等のベンダーが公表する前に、脆弱性を発見し、いち早く対応できるというメリットもあるとのことだ。
Webアプリケーションをスキャン
カスタムフィルタを提供
そして、もう1つ同社が取り組んでいるのが、Webアプリケーションのスキャンサービスである。
ご存じの通り、SQLインジェクションやクロスサイトスクリプティングなどの攻撃は、Webアプリケーション特定の脆弱性を狙う。つまり、サイトごとに弱点は異なるため、個別の対応が必要になる。WAF(Web Application Firewall)の導入に大きなコストと負荷がかかるのは、こうした事情がある。
これに対してDVLabsでは、顧客のWebサイトのスキャンをサービスとして提供する。脆弱性が存在しているか、情報漏えいの危険性はないか、PCI DSSなどの規格を満たしているか、などを調べた上で、脆弱性レポートを提出する。
ただ、ここまでであれば、多くのベンダーやISPなどで提供しているサービスだ。しかし、DVLabsで特徴的なのは、顧客のWebサイトの脆弱性を塞ぐためのカスタムフィルタを作成するという点。つまり、単に弱点をレポートしてくれるだけでなく、実際に攻撃から防御する術を提供してくれるのだ。
「Webサイトの脆弱性を検査し、それに対応したフィルタを提供します。これにより、ユーザーごとに異なるWebアプリケーション固有の脆弱性に対応することがでできます」(エンドラー氏)。これに加えて、IPSのチューニングをし、設定を最適化するサービスも開始。「Webアプリケーション以外にも内部のホストやサーバの脆弱性を検査し、現在のTippingPoint IPSのシグネチャ設定での対応可否をレポートします。ユーザーはこのレポートをもとにIPSのシグネチャ設定の変更を検討することができます。設定変更までの時間的な余裕が生まれ、コンプライアンスの要件を満たすことができます」(エンドラー氏)とのことだ。
ユーザーやアプリケーションごと「カスタマイズされた攻撃」が増える昨今、シグネチャの精度を上げ、既存のIPSを有効活用するための取り組みとして今回のティッピング・ポイントのサービスは期待できそうだ。
初出時、「TippingPoint 5000E」を「TippingPoint E5000」と表記していましたので、訂正します。また、Webアプリケーション診断サービスとサーバの脆弱性診断の内容を混同していたので、図も含め修正を行ないました。以上、お詫びして、訂正させていただきます。本文は修正済みです。(2009年6月1日)
