IT資産の脆弱性管理、「Tenable.io」による自動化について解説

　NTTデータ先端技術株式会社は8月2日、手動による情報突合方式から同社で取り扱う脆弱性管理ツールによる自動化について、同社コラムで発表した。

　IT資産の脆弱性管理について、構成情報と脆弱性情報をそれぞれ人手によって収集し、それらを突き合わせて脆弱性の有無を判定する「情報突合方式」では工数がかかり過ぎ、同社にも相談があるという。本コラムでは、NTTデータ先端技術で取り扱っている脆弱性管理ツール「Tenable.io」で、情報突合方式の課題をどのように解決可能であるか例示している。

　同社では手動による情報突合方式の現場の一例を挙げ、構成情報が正確でなく脆弱性検出が不正確となる、情報突合方式では検出できない脆弱性がある、実は対処が完了していないケースを見逃してしまう、情報の連携が負担となってしまう等の課題があると指摘している。

　同社で取り扱う「Tenable.io」は米国Tenable社が開発する統合脆弱性管理プラットフォームで、PCやサーバ、NW機器などに存在する脆弱性をスキャンし、統合的に管理する。精度の高い脆弱性スキャン、幅広いIT資産への対応、対処の優先度決定を強力に支援するVPR（Vulnerability Priority Rating）機能、豊富なAPIとサードパーティー製ツールとの連携機能等の特徴がある。

　 Tenable.ioによる脆弱性管理プロセスの自動化で、構成情報や脆弱性情報はTenable.ioが自動的に収集し、IT資産に対する脆弱性スキャンを実施、情報セキュリティ担当は脆弱性管理状況の把握やポリシーの改善に注力できる。システム担当は煩雑な構成情報と脆弱性情報の突合から解放され、VPR機能の併用で高リスクの脆弱性の修正作業に集中できる。

　脆弱性管理プロセスは下記のように改善される。

・体制
情報セキュリティ担当とシステム担当は、同じTenable.ioのUIを介して情報を共有し、適宜連携を行いながら脆弱性を管理できる。

・構成情報の管理
構成情報はTenable.ioが一元的に対象資産をスキャンして保持、手動による更新の必要はない。

・脆弱性情報の収集
Tenable社のセキュリティエンジニアが日々情報収集し、プラグインをアップデート。リリースのリードタイムは標準で約1日で、自組織での独自の情報収集は多くの場合不要となる。

・脆弱性の検出・修正
脆弱性の検出はすべてTenable.ioが高精度に実施し、発現条件が複雑な脆弱性についても、外部からのプローブパケットに対する戻り値で判定するなど、高度なロジックが組み込まれている。チケット管理システムとの連携で、修正プロセスもシステム上で管理できる。

・脆弱性対処の管理
修正の完了は次回のスキャン結果で実際に当該脆弱性が検出されないことで技術的な検証が可能となる。