優等生の日本でも25万台のサーバーがTelnetに応答

複雑化する攻撃にリスクの可視化で対抗するRapid7のアプローチ

2017年07月14日 07時00分更新

文● 大谷イビサ／TECH.ASCII.jp

7月13日、クラウドベースのセキュリティ可視化サービスを提供するRapid7はCEO来日にあわせた発表会を開催。CEOのコーリー・トーマス氏は、多層防御中心にしたアプローチから、リスクベースのセキュリティへの移行を訴えるとともに、調査報告をひもとき日本のセキュリティリスクについて解説した。

セキュリティ対策のメンテナンス不足がリスクの温床に

　Rapid7はセキュリティの分析や可視化を実現する「Insight」プラットフォームを手がけるプロバイダー。アセット（資産）、ユーザー情報、脆弱性情報、行動情報、クラウドでのアクティビティ、サードパーティ情報などさまざまな情報を横断的に相関分析し、複雑化する攻撃・脅威に対する可視化と自動化を提供する。

米Rapid7 CEO コーリー・トーマス氏

　Rapid7 CEOであるコーリー・トーマス氏が訴えるのは、従来型の「防止」のアプローチから、リスクに基づくセキュリティ対策への転換だ。ランサムウェアが増大し、さまざまなクレデンシャル情報が付け狙われる中、企業はこれまで「攻撃の防止」を中心に、さまざまな製品を多層化して導入してきた。しかし、管理と維持が不十分な状態が続いたため、脆弱性が増大。「メンテナンスを怠っていたのがリスクの温床となっている。しかし、何年もかけていた構築してきたセキュリティを、すぐに変更するのはとても大変」とトーマス氏は指摘する。多層防御の基盤とデータ分析により、脆弱性やインシデントの検出、ログ管理などを提供するのがRapid7の価値になる。

リスクに基づくセキュリティ対策への転換

　Rapid7のInsightプラットフォームは、脆弱性データベース「Nexpose」や侵入テストツールの「Metasploit」の情報、インターネット全体のスキャン、グローバルなハニーポット、そしてセキュリティ研究者の知見などの分析を、顧客データに適用。560億件を超えるイベントを処理し、IT管理者にとってシンプルに、使い勝手のよい情報に加工していくことが同社の価値になるという。

　Rapid7のInsightプラットフォームは、リアルタイムな脆弱性診断を行なう「InsightVM」、クラウドアプリケーションのテストを実施する「Insight AppSec」、インシデント検出とレスポンスを提供する「InsightIDR」、IT担当者の運用を支援する「InsightOps」などのサービスを取りそろえる。このうちInsightVMではエンドポイントまでの可視化を可能にする「Rapid7 Insight Agent」、修正タスクのチケット管理を容易にする「Remediation Workflow」、優先度の高いリスクを示すことで生産性を向上する「InsigthVM Livebords」などの新機能が追加された。

Insightプラットフォームの全体像

　さらに同日付けで国内のAWSインスタンスでInsightVMのデータがホストされることも発表された。Japanese Vulnerability Notes（JVN）から日本向けの情報も取り入れるため、多くのCVE（共通脆弱性識別子）に対応できるという。

脆弱性管理が根付きつつある日本でこそ可視化が活きる

　また、発表会ではインターネットのリスクを定量的な指標で調査したRapid7 Labの「National Exposure Index」に関するサマリ説明も行なわれた。

　たとえば、2017年でリスクの高い国のトップ10としては、1位がジンバブエ、2位が香港、3位がサモア。100万以上のエンドポイントで、マイクロソフトのファイル共有サービスであるSMBが公開され、WannaCryなどの攻撃対象となっていたのが大きなリスク。一方で、Miraiボットネットの影響で、Telnetを実行するノードが前年に比べて33％減少したという。

　中間者攻撃が大きな問題となり、約1000万ポートで暗号化されていないサービスが利用されていた日本は昨年16位だったが、今年は183カ国中155位となった。米国、中国についで3番目となる2億ものIPv4アドレスを割り当てられている日本だが、「Rapid7のスキャンでは応答したサーバーが1.6％のみで、攻撃対象自体が非常に少なく、比較的リスクの少ない国といえる」（トーマス氏）という。それでも25万台近いサーバーがTelnetに、10万台以上のサーバーがSMBに応答しており、リスクが解消したわけではないという。

リスクに関する日本の数値

　この結果を受け、ユーザー企業とISPはインターネットで許可されているサービスを見直し、外部の侵入テストサービスによって、攻撃のリスクとセキュリティ体制を理解する必要があるという。また、Rapid7のようなサービスを用いて、組織の客観的な評価を行なうことを推奨した。

　日本法人であるラピッドセブン・ジャパン執行役社長の牛込秀樹氏は、売り上げが昨年度対比で183％増になっていると説明。日本ではSOCやCSIRTによる脆弱性管理が少しずつ根付き、時点監視から継続監視へ、公開サーバーからネットワーク全体へ、と移っている状況にあり、Rapid7による可視化が効果を発揮するとアピールした。