連載第2回：Qualys CSAMモジュールの紹介

こんにちは。脆弱性マネジメントグループの黒田 彩花、横内 穂乃香です。

ラックでは脆弱性管理ソリューションを活用した脆弱性診断の推進にあたるセキュリティ診断内製化支援サービスを提供しています。

本連載では、効率的な脆弱性管理を行うためのQualysのモジュールと機能および活用例を連載しています。2回目の本記事では、「Qualys CSAMモジュール」を紹介します。

現在VMDRを利用している方や、Qualysに興味をお持ちの方に本記事が参考になれば幸いです。

脆弱性管理で企業が直面する課題とは？

昨今、企業の担当者より「診断結果から対策の優先順位を判断・決定するのが難しい」、「診断で収集した情報をさらに活用したい」といったご相談をいただくことがあります。例えば、現在利用しているサードパーティ製の資産管理ツールと連携し、より有効に活用したいというご要望や、すでにVMDRで収集している情報をもとに、インストール済のソフトウェアの監視や空いているポート情報の活用を検討したいといったご相談です。

数ある脆弱性管理ソリューションの1つである、Qualysプラットフォームの脆弱性診断・管理を行うモジュールであるVulnerability Management Detection & Response（VMDR）の拡張機能として活用できる、「Qualys CyberSecurity Asset Management（CSAM）」を紹介します。

CSAMモジュールを利用することで、サードパーティ製のツールとの連携が可能になり、VMDRで収集した情報にさらに情報を付加することで、資産の状態をより詳細に監視できるようになるため、CSAMは脆弱性管理における課題の解決に適したモジュールです。

Qualys CSAMとは

CSAMはVMDRの資産管理機能の機能強化を行うモジュールです。VMDRにはGlobal Asset Viewという検出した資産を一覧で確認できる機能があります。CSAMを使用するとGlobal Asset Viewで確認できる情報に加えハードウェアやソフトウェアのEOL、EOSなど製品のライフサイクルに関する情報やライセンス分類などのメタデータが自動で追加されます。

また、ユーザ側で管理資産にインストールを許可するソフトウェア、解放を許可するポートなどが設定可能で、自社のポリシーに沿って資産のリスク評価を行うことが可能です。

そのほか、レポート機能の拡張、サードパーティ製品の双方間連携、Attack Surface Managementの機能も含まれます。そのため、VMDRを利用されている場合はCSAMを併用することで単なる診断ツールとしてだけでなく、資産管理としても活用できます。

VMDRとCSAMの機能の差異は以下の表のとおりです。

比較表からもわかる通り、VMDRと比較して様々な機能の利用が可能です。

Qualys CSAM機能紹介

CSAMで利用可能となる機能は多岐にわたりますが、現在VMDRをご利用中の方にぜひご利用いただきたい機能をいくつか抜粋して紹介します。

各資産の状態監視・通知

CSAMを利用し、以下の設定項目をポートとソフトウェアに付与することで状態監視が可能です。

• Unauthorized
• Authorized
• Needs Review

ユースケースとしてはグローバルネットワークに公開を推奨しないポート、インストールを推奨しないソフトウェアをUnauthorizedに設定し、公開に注意が必要なポートやインストールに許可が必要なソフトウェアをNeeds Reviewに設定することで、意図しないポートが解放されていないか、不要なソフトウェアがインストールされていないかをQualysで確認できます。

また、Unauthorized、Needs Reviewに設定したポートが解放された場合や、ソフトウェアがインストールされた場合にはメール・Teams・Slackなどで通知を自動的に行うことも可能です。

Qualysにて検知から通知まで設定可能なため、自社基準にそぐわない公開ポートやソフトウェアのインストールが確認された場合は即時対処ができる仕組みづくりも可能となります。

各資産のリスク評価

CSAMを使用するとVMDRで収集した情報を基にソフトウェアやハードウェアのEOL/EOSの情報の付加が自動的に行われます。そのためセキュリティリスクや技術的な問題が生じるリスクのある資産を可視化することが可能です。

また、各資産の状態監視の設定とEOL/EOSの情報はTruRiskの算出にも用いられます。

TruRiskはQualysに組み込まれたリスクベースの脆弱性評価機構です。脆弱性管理モジュールのVMDRでは、脆弱性に対するリスク度合いを指し示す定量的な指標として活用されるスコアでしたが、CSAMモジュールを利用することで、各資産の状態監視設定とEOL/EOSのセキュリティリスクを加味して算出できます。そのため各資産の脆弱性のリスクに加え、自組織の基準を加味したリスク度の定量化、可視化を実現できます。

サードパーティ製ツールとの連携

CSAMにはCMDB SyncというServiceNow CMDBと連携する機能が含まれています。

CMDB Sync機能を使用するとServiceNow CMDBとQualysで双方間連携が可能となり、既にServiceNowを利用して資産管理を行っている場合、Qualysで収集した情報を紐づけて管理することが可能になります。

以下の手順で実現可能です。

• 1.ServiceNowで連携に必要なアプリケーション（Qualys CMDB SyncまたはQualys CMDB Bi-directional Sync）をインストールする。 ※ ServiceNowのアプリは無料で取得できます。
• 2.APIソースをServiceNow側で追加する。 ※ Qualys APIのユーザ認証情報、APIサーバの設定が必要です。
• 3.スケジュールを作成し、同期するデータを定義する。
• 4.Qualysアプリの構成/プロパティを更新する。

一度設定を行うとスケジュールに応じてデータの連携が行われ、ServiceNow側からQualysで収集したデータの確認が可能となります。なお、ServiceNowに取り込むデータは範囲を制限できるので必要なデータのみ取り込むことが可能です。

また、双方間連携が可能なのでServiceNow CMDBから以下のような利用者が任意で設定するデータを取り込むこともできます。

• ステータス（修理中、紛失・盗難など）
• 組織（会社、ビジネスユニット、部署など）
• 所有者 - アセットの所有者
• 管理者 - アセットの管理責任者
• サポート担当者
• 環境（本番/ラボ/テスト）
• 所在地（国名、都市）
• ビジネスアプリ/サービス名
• ビジネス重要度

※ Qualys｜ServiceNow Store

EASM（External Attack Surface Management）について

攻撃者目線で資産や資産に潜む問題点の特定が可能なツールとして注目されているEASMも利用可能です。

EASMを利用すると外部に公開しているサーバやネットワーク機器、未管理資産の検出を行うほか、それらの資産に存在する脆弱性やリスクを検出できます。またVMDRと合わせて利用することでEASMを利用し検出した未管理の資産に対して脆弱性診断を行うことも可能となります。

※ 未管理資産が自社資産であることをご確認の上脆弱性診断を実施ください。

おわりに

今回はCSAMを紹介しました。CSAMは、自組織の基準に沿った定量的な資産のリスク評価や、サードパーティ製ツールとの連携、未管理資産の検出等、VMDRで収集している情報を活用しつつ課題や新たなニーズに対応したモジュールです。また、機能拡張も積極的に行われており、2025年中にSBOMにも対応予定です。

現在VMDRを利用中の方も、導入を検討されている方もCSAMに興味を持っていただけたら嬉しく思います。今回の紹介では一部機能について割愛しましたが、気になる方はぜひお問い合わせください。また、トライアルについても下記の紹介ページから受け付けております。

＊ Qualys、Qualys VMDR^®、およびQualysのロゴはQualys, Inc.の商標または登録商標です。その他すべての製品や名前は、それぞれの会社や組織の商標や登録商標である場合があります。