脆弱性の可視化を前提とした新しいセキュリティ対策の実現が必須の時代に

本連載ではこれまで、デジタル・トランスフォーメーション時代におけるセキュリティの課題とその解決のために求められるアプローチについて解説してきた。最終回となる今回は、デジタル・トランスフォーメーション時代のセキュリティ対策を実現する、Tenableが提供する脆弱性可視化ソリューション「Tenable.io」についてと、新しいサイバーリスクの管理指標となる「サイバー・エクスポージャー」とは何か、そこにTenable.ioはいかに貢献するのかについて解説することにしたい。

本題に入る前に、ここまでのおさらいを簡単にしておこう。

デジタル・トランスフォーメーションの進展は、企業のビジネスの可能性を大きく広げる一方で、守るべきポイントを増加させ、それがサイバーセキュリティ上のリスクの増大にもつながっている。このような新たなセキュリティの課題への対策を考える際に注目したいのが、標的型攻撃にせよランサムウェアにせよ、そして企業のサーバを狙った攻撃にせよ、クラウドやIoTデバイスを狙った攻撃にせよ、攻撃手法の種類や新旧、攻撃対象を問わず、そのほとんどが既知の脆弱性を突いたものだという事実である。逆にこのような攻撃側の実態を踏まえれば、必要となる対策も自ずと見えてくる。それは、モバイルデバイス、Webアプリケーション、パブリッククラウド、IoT機器などすべてのポイントに潜む脆弱性を可視化し、日頃からリスク管理を施すというアプローチだ。

第1回 デジタル・トランスフォーメーションがセキュリティにも影響 - 求められる脆弱性可視化による新たな継続的アプローチ

記事はこちら

脆弱性の可視化ツールとして真っ先に思いつくのが、Tenableが提供するマルチプラットフォーム対応の脆弱性スキャナ「Nessus」だ。Nessusは現在までに世界中で20,000以上の顧客と10,000,000件のダウンロードという実績を有しており、脆弱性可視化におけるデファクトスタンダードとなっている。しかしながら、脆弱性の可視化において他社製品を圧倒するNessusであっても、今後求められてくる脆弱性を可視化したうえでの自社主導による新たなセキュリティ対策を実現するには十分とはいえない。なぜならば、Nessusはセキュリティコンサルタントが定期的に診断するためのツールであるため、自社のITスタッフや経営層が日々直感的に脆弱性やリスクを知ることは難しいからだ。加えて、デジタルト・トランスフォーメーションによる保護すべきポイントが急拡大しており、もはやNessusだけでカバーできる範囲を超えてしまっていることも挙げられる。

  • 脆弱性スキャナ Nessusの操作画面

このようにNessusであっても不可能な、脆弱性の可視化を前提とした新しいセキュリティ対策を実現するソリューションとして新たに登場したのがTenable.ioなのである。Tenable.ioは、Nessusの優れた点はすべて"いいとこ取り"したうえで、ITスタッフや経営層をはじめ、誰でも自社に潜む脆弱性をダッシュボードなどで視覚的に把握することを可能とするソリューションといえる。

  • Nessusの優れた点を包括しているTenable.io

さらにTenable.ioは、DevOpsの普及により爆発的に増えつつある、マイクロサービスの実装技術「コンテナ」にまつわるセキュリティの課題も解決することが可能だ。コンテナでは従来型の脆弱性管理テクニックが利用不可能であり、脆弱性に対する修正を行うことができないが、Tenable.ioであれば、コンテナに存在するリスクを包括的に調査して、展開前の対処を実現することができるのである。Tenable.ioによる早期の脆弱性識別により、85%以上の運用コスト削減も実現できる。

第3回 いまなぜコンテナセキュリティが求められているのか

記事はこちら

新しいサイバーリスクの管理指標「サイバー・エクスポージャー」実現に向けて

Tenable.ioは、従来型のPCやサーバはもちろん、クラウドやOT(Operational Technology)のインフラ、これまでサイロ化されていたスマートファクトリー、さらにはIoTなどに至るまでを包括的に網羅することができるため、企業のあらゆる資産の計測・管理が可能となる。

Tenable.ioのプラットフォーム上には、「脆弱性管理」「Webアプリケーション・スキャニング」「コンテナセキュリティ」「レポーティング、ダッシュボード」といった機能が備わっており、そこにはNessusもコンポーネントの1つとして組み込まれている。これにより、ネットワーク、サーバ、デスクトップ/ノートPCのみならず、モバイルデバイス、仮想マシン、クラウド、コンテナ、産業用/企業用IoTデバイスなどの利用状況を可視化することが可能だ。またオープンプラットフォームを目指しているTenable.ioは、APIを介して、サードパーティの製品と連携することが可能であり、Amazon Web Services、Azure、グーグル・クラウドプラットフォーム(GCP)などのパブリッククラウドもサポートする。

そんなTenable.ioが提供するレポートは、IT担当者向けに加え、経営層向けのものも作成される。たとえば、IT担当者はレポートを見て、対処すべき脆弱性を把握して報告したり、パッチを当てるなどの対処が行えるようになる。CIOやCFOはセキュリティのリスクが経営に与える影響を共有・把握することで、トップダウンとして適切な指示を出すことが可能になるのだ。

そしてTenable.ioであれば、脆弱性診断のさらに先を行く、デジタル・トランスフォーメーション時代に求められる新たなサイバーリスクの管理指標としてTenableが提唱する「サイバー・エクスポージャー」を実現することができる。サイバー・エクスポージャーとは、金融用語の「エクスポージャー (=所有する金融資産のうち、市場の価格変動のリスクにさ らされている資産の度合い)」をセキュリティに当てはめて考えた概念であり、「守るべき資産を守る」「優先すべきリスクを知る」「リスクを測定して対処する」といったことを計測・管理することで、情報セキュリティにおけるリスクを正確に把握し最小化することを目指すための指標となるものだ。

これまでに述べた通り、デジタル・トランスフォーメーションにより多様なデバイスやサービスが普及し、企業がもつ資産の多くが測定・分析できなくなってきている。こうした動向に対して、企業のあらゆる資産の可視化が可能なTenable.ioであればこそ、「エクスポージャーはどこに存在するか」「優先されるべきリスクはどれか」「継続的にリスクを排除する方法はなにか」を明確にし、サイバーリスクの最小化を図るサイバー・エクスポージャーを実現できるのである。

とりわけ日本企業においては、工場・製造業と金融業が特にサイバー・エクスポージャーの需要が高い分野だと思われる。もちろんそれ以外でも、IT機器がつながっている企業であればすべて、サイバー・エクスポージャーは今後欠かせない指標となっていくだろう。デジタル・トランスフォーメーション時代に競争力を発揮するには、サイバーセキュリティにおいても他社より一歩先を行くアプローチが有効になる。ぜひ、Tenable.ioと、それが可能にするサイバー・エクスポージャーにより、真のデジタル・トランスフォーメーションを成し遂げてみてはいかがだろうか。

[PR]提供:Tenable Network Security Japan