ゼロトラストで「CTEM」が果たす役割
~求められる脆弱性管理への意識改革~
- お役立ち情報
2024年09月20日
- サイバー攻撃対策
- セキュリティー対策
セキュリティー対策でゼロトラストに注目が集まり、「SASE(Secure Access Service Edge)※1」や「SSE(Security Service Edge)※2」といったカテゴリーの製品が多数登場しています。ただし、それらのソリューションを導入しても、攻撃者が狙うITシステムのウイークポイントを解消しなければ効果は著しく低下します。ゼロトラストの大前提として取り組まなければならない、脆弱性管理に対する意識改革について、Tenable Network Security Japanの貴島 直也氏とユニアデックス ソリューションマーケティング本部 上席スペシャリストの岩竹 智之が語り合いました。
目次
脆弱性管理を阻害する日本企業の心理的ハードル
——サイバー攻撃による被害が深刻な経営リスクとなっている昨今、セキュリティー対策を強化する上でゼロトラストに注目が集まっています。着実にこの取り組みの成果を上げるには、どのような点に留意すべきでしょうか。
Tenable Network Security Japan 貴島 直也氏(以下、貴島):周知のとおりゼロトラストとは「誰も信じない」、いわばユーザー性悪説を基本としたセキュリティー対策のアプローチです。だからこそ、セキュリティー対策の“基本のキ”である脆弱性管理の徹底に、改めて目を向ける必要があると考えています。
ユニアデックス 岩竹 智之(以下、岩竹):例えば、「ZTNA(Zero-Trust Network Access)※3」機能を活用してあらゆるユーザーやデバイスからのアクセスを厳重に制御すれば、不正侵入を防止できます。「EDR(Endpoint Detection and Response)※4」などの仕組みを導入すれば、万一侵入された場合でも直ちに検知できます。そうしたツールがあることで、「それらを導入しておけば、多少の脆弱性は残っていても問題はない」と考える企業もあります。これは大きな間違いです。
どのようなセキュリティー対策であっても、100%の精度で脅威を検知できるわけではありません。既知の脆弱性を発見して対処しておかなければ、最新のセキュリティーソリューションを導入していても、攻撃者の格好のターゲットとなります。「誰も信じない」ゼロトラストだからこそ、脆弱性対策は不可欠なのです。
——脆弱性対策は、ITの導入が進み始めた当初から徹底が訴えられてきた取り組みです。現在の日本企業の取り組み状況はいかがでしょうか。
貴島:さまざまな調査結果から明らかになっているのが、欧米の企業に比べて日本企業の取り組みが遅れている現実です。具体的には脆弱性管理の“範囲”と“スキャン頻度”です。脆弱性チェックやITハイジーン※5は、一部の重要システムしか対象にしていない、年に1度のセキュリティー監査の際にしか行っていないといったケースが散見されます。
セキュリティーインシデントが発生した場合、株主や投資家だけではなく社会からも厳しく経営責任が追及される欧米の企業では、CISO(最高情報セキュリティー責任者)が強いリーダーシップを発揮して対策を進めています。脆弱性チェックも、すべてのITシステムを対象に、月に1回またはそれ以上のスキャン頻度で行っています。
岩竹:ITシステムの脆弱性は、単にチェックすれば済むわけではありません。新たな脆弱性が発見された場合には、パッチを当てたり、ソフトウエアをバージョンアップしたりといった作業が必要になります。その前後ではテストも欠かせません。こうした対策の実施ではシステムやサービスの停止が発生する場合もあります。日本のユーザーはそうしたシステムやサービスの停止に対して寛容ではない傾向があり、日本企業にとって頻繁に脆弱性対策を行う心理的ハードルになっている側面もあるようです。
貴島:万一ランサムウエアなどの被害が発生した場合、セキュリティー対策でのシステムやサービスの停止とは比べものにならないほど長期間のサービス停止を余儀なくされます。実際にそうしたインシデントも、数多く報道されています。企業の経営層は、同様のインシデントが自社にも起こり得るという現実をしっかり認識した上で、着実に脆弱性管理とその対策を進めていく必要があります。
発見された膨大な脆弱性に優先度を付けて対応することが重要
——ゼロトラストに注目が集まる中、どのような考え方で脆弱性対策に臨めばよいのでしょうか。
貴島:重要なポイントは、把握できていないIT資産を見つけ出して脆弱性を可視化すること、それらを従来のような年1回ではなく、より高いスキャン頻度で継続的に実施することです。
IT資産に存在する脆弱性の数は膨大です。米国の非営利団体のMITRE社※6は新たに発見された脆弱性をWebサイトで公開(https://cve.mitre.org/)していますが、2023年に公開された脆弱性の総数は約2万9,000件、2024年は3万件を大きく超えそうな状況です。実際に企業のITシステムを調査すると、1システムあたり2,000~3,000件の脆弱性が発見されます。
これほど大量の脆弱性の一つ一つを自社のIT資産と照らし合わせ、すべての脆弱性に対応できる企業は多くはないでしょう。そこで重要なのが、優先度に応じた脆弱性対策です。MITRE社が公開している脆弱性の危険度などを参考にしながら、自社のIT資産のうち攻撃の標的となる可能性が高いものから順に迅速に対処することが肝要です。
——そういった優先度を付けた脆弱性管理・対策のソリューションをTenable Network Security Japan(以下、Tenable)は提供しているのですね。
貴島:Tenableは、リスクベースの脆弱性管理、Webアプリケーションセキュリティー、クラウドセキュリティー、IDセキュリティー、アタックサーフェスマネージメント、OTセキュリティーなどのセキュリティーソリューションを提供しています。それらを統合したサイバーエクスポージャー管理プラットフォームとして、「Tenable One」をリリースしました。
「Tenable One」の根幹にあるのは、脅威にさらされているITの資産を継続的に可視化してリスクを管理する「CTEM(Continuous Threat Exposure Management)」というセキュリティーの考え方です。継続的な脆弱性管理をサポートし、短期的に攻撃の標的となる可能性が高い脆弱性の優先度を上げる機能を提供しています。
DXの進展によって拡大しているアタックサーフェス(攻撃対象領域)を1画面に統合表示します。自社のIT資産の脆弱性状況を分析するほか、侵入してから重要資産にたどり着くまでの侵入経路を予測し、クリティカルポイントを見つけ出すアタックパス分析と呼ばれる機能も提供しています。こうした機能の活用で、対策すべき脆弱性とそれが存在するIT資産に対して効率よく対策を実施できます。
従来の脆弱性診断サービスをエクスポージャー管理に発展
——Tenableとユニアデックスはパートナーシップを結びました。どのようなシナジーが発揮されるのでしょうか。
岩竹:ユニアデックスでは長年にわたり脆弱性診断サービスを提供してきました。多くのお客さまはセキュリティー監査に合わせ、年に1回ご利用いただく程度のスキャン頻度です。サイバー攻撃の被害拡大などを受け、欧米では継続的な脆弱性管理とその対策が進む中、Tenableが提供するCTEMを中心としたソリューションを取り入れることで、脆弱性診断サービスをより広範なエクスポージャー管理のサービスに発展させていきたいと考えています。
サービスの提供形態としては、SIを含めたソリューション提供のほかマネージドサービスとしての運用代行など、お客さまのご要望に合わせたさまざまなメニューを検討しています。
貴島:今回のパートナーシップ締結では、Tenableとしてもユニアデックスが担ってきた日本のお客さまに密着したサービスの発展に期待しています。
岩竹:サービスの詳細は間もなく発表できる予定です。ご期待をいただければ幸いです。昨今のサイバー攻撃、中でもランサムウエアの被害は、直接的な侵害を受けた企業だけでなく、サプライチェーン全体を停止させる深刻な脅威となっています。社会全体の課題となったセキュリティーの確保に向けて、ユニアデックスは全力で貢献していく考えです。
貴島:あらゆる企業にとってセキュリティー対策の強化は不可欠となっています。ゼロトラストのあるべき形を実現するため、その“一丁目一番地”が脆弱性管理とその対策であることをTenableは継続して訴え、ユニアデックスと共に「日本の企業と社会を守る」という使命を果たします。
- ※1:セキュリティーとネットワークを統合してクラウドサービスとして提供するセキュリティーフレームワークの概念
- ※2:複数のネットワークセキュリティーの機能を組み合わせてクラウドで提供するセキュリティーサービス
- ※3:ゼロトラストの実現のためにIT資産にアクセスするすべてのユーザーとデバイスに対して厳格な検証を行う技術や機能
- ※4:PCやサーバー、モバイルデバイスなどのエンドポイントからログデータを収集・分析し、不審な挙動やサイバー攻撃を検知して管理者に通知するセキュリティーソリューション
- ※5:ハイジーンとは「衛生」を意味する英語で、エンドポイントの衛生状態を管理すること。サイバーハイジーンやセキュリティーハイジーンとも呼ばれる
- ※6:米国連邦政府から資金提供を受け、米国連邦政府や各州・自治体などにサイバーセキュリティーを含むさまざまな分野で研究開発などの支援を行う非営利団体
関連情報
関連コラム
関連ニュース
お問い合わせ
お客さまの立場で考えた、
最適なソリューションをご提供いたします。
お気軽にお問い合わせください。