ASM製品の具体的な活用：第2回 ASM製品と脆弱性診断サービスの使い分け

この連載では、ASM製品の活用や脆弱性診断サービスとの使い分けについて、実際の製品で得られる情報や診断サービスの調査内容に触れつつ、3回に分けてご紹介します。

第1回では、ASM製品がどのような情報を収集し、どのような情報が利用者に提供されるかを説明しました。その中で、ASM製品が提供する脆弱性の情報はあくまで可能性に過ぎず、見落とされる可能性もあります。また、非公開の資産の問題の調査はできません。これらの問題を解決するのが脆弱性診断サービスであり、各組織は状況に応じてASM製品と脆弱性診断サービスを使い分ける必要があります。

第2回となる今回は、ASM製品と脆弱性診断サービスの調査方法や調査結果の違い、脆弱性診断サービスを検討すべき場合について説明します。

ASM製品と脆弱性診断サービスの違い

では早速、ASM製品と脆弱性診断サービス（以下、診断サービス）の違いについて説明します。

ASM製品と、ラックが提供する診断サービスの調査内容を比較すると以下のようになります。

	ASM製品	脆弱性診断サービス
診断にかかる時間	定期的（毎日等）で数分程度	1～5IPアドレス毎に約2日間
調査項目	外部公開状態の資産をすべて可視化 ウェルノウンポートを中心に調査 非公開資産は調査不可 認証が必要な資産は調査不可 正常な通信に対する応答の範囲での調査 基本的に脆弱性の実在確認をしない	指定された資産のみを診断 基本的に全ポートのサービスを診断 非公開資産も診断可能 認証が必要な資産も診断可能 攻撃を模した通信による調査 疑似攻撃的な通信により脆弱性の実在を確認
調査結果のリスク評価	システムによる自動評価	評価項目ベースだが、診断員による評価が入ることもある
脆弱性の確認方法 についての説明	ない	レポートに記載
レポート	調査結果のみを記載 結果から可能性のある脅威と、対策方法を記載	診断方法とその結果を記載 結果から脆弱性の内容、対策方法を解説 診断項目の一覧を記載
調査ログ	記載されない	診断時の応答内容を記載 脆弱性を確認した応答だけでなく、各ポートでの応答とサービス名を記載
調査に際しての注意	特にない	対象ネットワークのセキュリティ対策製品でアラートの発生や、サーバ上のデータの改変、サーバの停止等が生じる可能性

ASM製品	脆弱性診断サービス
診断にかかる時間
定期的（毎日等）で数分程度	1～5IPアドレス毎に約2日間
調査項目
外部公開状態の資産をすべて可視化 ウェルノウンポートを中心に調査 非公開資産は調査不可 認証が必要な資産は調査不可 正常な通信に対する応答の範囲での調査 基本的に脆弱性の実在確認をしない	指定された資産のみを診断 基本的に全ポートのサービスを診断 非公開資産も診断可能 認証が必要な資産も診断可能 攻撃を模した通信による調査 疑似攻撃的な通信により脆弱性の実在を確認
調査結果のリスク評価
システムによる自動評価	評価項目ベースだが、診断員による評価が入ることもある
脆弱性の確認方法 についての説明
ない	レポートに記載
レポート
調査結果のみを記載 結果から可能性のある脅威と、対策方法を記載	診断方法とその結果を記載 結果から脆弱性の内容、対策方法を解説 診断項目の一覧を記載
調査ログ
記載されない	診断時の応答内容を記載 脆弱性を確認した応答だけでなく、各ポートでの応答とサービス名を記載
調査に際しての注意
特にない	対象ネットワークのセキュリティ対策製品でアラートの発生や、サーバ上のデータの改変、サーバの停止等が生じる可能性

※ 上記は一例であり、ASM製品やサービスの契約内容により変わる場合があります。

提供方法が異なる

ASM製品はインターネットを介して自動化されて提供され、定期的にAssetsやIssueの情報を更新します。一方、診断サービスは基本的にスポット契約で提供され、診断内容や対象プラットフォームにより調査に必要な期間は変動しますが、5IPあたり2日間の調査期間が必要です。

調査項目が異なる

最も大きな違いは調査項目です。端的に言うと、ASM製品は「広く浅く」、診断サービスは「狭く深く」調査を行います。ASM製品はインターネット上から調査し、対象組織がインターネットに公開している資産の検出と、脆弱性の調査を行います。診断サービスは契約時に指定された資産の脆弱性診断のみを実施し、公開資産の洗い出しは行いません。

また、ASM製品はインターネットに公開されている資産のみを対象とし、内部ネットワークの資産や認証が必要な資産の調査はできません。診断サービスは、インターネットからの診断以外にも、内部ネットワークに診断機器を接続して内部資産の診断をすることもでき、事前調整により認証が必要な資産の診断にも対応します。

診断項目の中でも特に違いがあるのが、脆弱性の確度の調査です。多くのASM製品は正常な通信で得られるソフトウェアのバージョン情報や、ポートの解放状況から存在する可能性のある脆弱性を提示するのみです。そのため、パッチ適用による修正やWAFなどの対策状況は考慮されず、バージョン情報を非公開にしているソフトウェアの脆弱性も提示できません。

ラックの診断サービスは、攻撃的な通信を発生させ、実際に脅威となりうる脆弱性が存在するかを確認し、その結果をログとともにお客様へ報告します。診断サービスでは各プラットフォームで稼働するソフトウェアを特定し、攻撃手法を検討して調査を行うため、ASM製品よりも調査時間が必要です。

診断サービスの注意点

このように、診断サービスの特徴は「実際の攻撃を想定して調査を行う」ことですが、それゆえに注意点も存在します。それは、疑似攻撃的な通信を行うため、対象組織のセキュリティ対策製品に攻撃として検知される可能性があるということです。

特にインターネット経由での診断では、次世代ファイヤーウォールやIPS、IDS、WAFといった製品が診断のための通信を攻撃とみなして検知してしまい、遮断する可能性があります。そのため、診断サービスの実施時には特定のIPアドレスからの通信を遮断しないように診断対象組織と調整し、当日はアラート発生の可能性があることを周知してもらうようにしています。

また、診断中は対象のサーバや機器に影響をあたえないよう十分に注意をしていますが、一部データの書き換えや異常な処理が原因でサーバが停止する可能性もあります。ASM製品は疑似攻撃的な通信を発生させない製品がほとんどなので、日々の調査でもアラートの発生やサーバの停止の危険性はありません。

ASM製品と診断サービスの使い分け

ASM製品と診断サービスには様々な違いがありますが、それぞれ次のように使い分けることが推奨されます。

ASM製品	ASM製品	発見されやすい脆弱性や公開状態の資産を日常的に調査し、サイバーハイジーン実現の一助とする
診断サービス	表面的な調査では発見できない脅威を重点的に調査し、被害の発生を防ぐ

ASM製品と診断サービスの違いはご理解いただけたと思いますが、実際にどのように使い分けすればよいかが気になるのではないでしょうか。そこで、実際の活用を想定した使い分けの例をご紹介します。

前提としてASM製品を導入済みで、日常的にAssets情報やIssue情報をもとに脆弱性の情報を収集しているケースを想定しています。

ASM製品が検出した脆弱性の修正状況の確認

ASM製品を導入済みであれば、Issue情報をもとに日常的に脆弱性の修正を実施するのが適切な運用サイクルです。しかし、パッチ適用やワークアラウンドによる対応ではバージョン情報が変わらないため、ASM製品では修正を確認できない可能性があります。特にワークアラウンドでは本当に影響が生じないかを確認することが困難です。

このような場合、対象が業務上重要なサーバ等であれば、診断サービスを利用して修正が完了しているか、攻撃による影響を受ける可能性が無いかを確認するのがよいでしょう。

ASM製品が大量のIssueを検出した資産

特にASM製品の導入直後に起こる事態として、特定の資産に集中してIssueが検出されることがあります。運用中でも、新たな脆弱性が報告された際は同様の状況が起きることがあります。

このような場合、対象の資産が適切にガバナンスされておらず、ASM製品では検出できない問題や脆弱性が潜んでいる可能性があります。その際は、資産の健全性を確認するため、診断サービスによる調査を実施することをお勧めします。

ASM製品では調査できない内部資産

ASM製品は主にインターネットに公開されている資産のみを調査するので、内部ネットワークで運用されている資産は調査できません。しかし、昨今のサイバー攻撃では外部公開していない資産も攻撃対象になることがあります。

内部に侵入したマルウェアやVPN、RDP等のサービスを悪用して侵入した攻撃者への対策は必須です。このような内部向けの資産は、診断サービスの調査が必要です。

独自開発のソフトウェアが稼働している場合

ASM製品は、外部に公開されているソフトウェアの脆弱性を調査しており、多くの場合バージョン情報をもとに既知の脆弱性情報（CVEなど）を参照しています。そのため、独自開発したソフトウェアを使用している場合は脆弱性情報が存在しないか、CVEに登録されていないため検出できません。

独自開発のソフトウェアを使用している場合には、診断サービスによる詳細な診断を受けることが推奨されます。

外部公開を予定している資産の事前調査

インターネット上に資産を公開する場合、公開前に可能な限り脆弱性を解消し、攻撃の対象とならないようにすることが重要です。

多くの組織が、公開を予定している資産で使用しているソフトウェアの脆弱性情報を収集していると思いますが、より詳細な調査は一般的な企業にとってハードルが高くなります。診断サービスは公開前の資産に対しても実施できるので、ポート開放等の設定内容の問題も含め潜在的な脅威を解消してから外部公開を行えます。

重要な資産の定期調査

ASM製品と診断サービスの大きな違いは、調査内容の詳細さにあります。ASM製品は発見されやすいポイントを日常的に確認できますが、通常の通信で得られる情報では判定できない問題を見つけることはできません。そのため、ASM製品だけでは問題を見落としてしまう可能性があります。

特に、組織内のActive Directoryサーバや個人情報を保存しているサーバなど業務上重要性が高いサーバに関しては、ASM製品ではカバーできない問題を発見するために、定期的に診断サービスを利用しているお客様もいます。

ASM製品のさらなる活用

今回は、ASM製品と診断サービスという、よく似たサービスを使い分ける方法について解説しました。それぞれに長所があり、状況に応じて使い分ける必要があります。ASM製品は自動化され運用の手間が少なくてすみますが、より詳細な調査を必要な場合は診断サービスを検討してはいかがでしょうか。

昨今のサイバーセキュリティの動向として、「サイバーレジリエンスの実現」という考え方が注目されています。これは、サイバー攻撃を予測し防御するだけでなく、被害を受けた際の復旧能力も含めた観点での考え方です。

この実現には、組織内資産の脆弱性を把握し対策することに加え、サイバー攻撃による被害を受けた際の侵入箇所の特定と対策、攻撃による影響を排除する活動が必要です。この点でもASM製品や診断サービスは有効であり、問題箇所の特定や修正状況の調査だけでなく、問題箇所の特定までの時間短縮にも効果を発揮します。

ASM製品は自動化されており運用負担が少ないですが、問題の説明は決まった内容であり、各組織のネットワーク構成などによる影響の大きさや実際の被害状況を加味した判定までは行いません。

ASM製品に関してご相談いただく点として、システム構成や国内攻撃事例を加味した脅威度評価を求めるニーズがあります。このような評価を提供することは可能ですが、多大なヒューマンリソースが必要になりサービスの価格も高騰してしまうため、気軽に利用いただくことが難しくなってしまいます。そこで、私たちの知見を自動化して提供できないか、新しいサービスの可能性について検討を進めております。

次回は、ラックが考える将来的なASMサービスの展望についてご紹介します。