第3世代へと進化した脆弱性検査ツール

郷間佳市郎 （Kyoma Keiichiro）
京セラコミュニケーションシステム　セキュリティ事業部 技術部長
古くから通信事業者系ネットワークのセキュリティ設計に携わるなど、豊富な知識と経験を持つ。NetWorld＋Interop 2004 Tokyoでは、NOC（Network Operations Center）チームとして参加、コアメンバーとして全体のセキュリティ運営に従事した。


第1回・脆弱性検査・診断・管理とは何か
Point1>>
脆弱性検査ツールは、すでに10年の歴史を持ち、「診断」に「管理」を加えた第3世代へ進化している
Point2>>
プロファイリング技術によって、脆弱性検査の機能と精度が大きく向上した
Point3>>
持ち込みPCをチェックする検疫ネットワークは、脆弱性検査の機能に含まれる
Point4>>
脆弱性検査・診断は、プロアクティブなセキュリティ対策のために不可欠の機能となる


まず、脆弱性検査ツールが登場した背景や歴史から説明してください
【郷間】<脆弱性検査ツールといったものが技術者の間で広く認知されたのは、1995年ごろでしょう。当時、「SATAN（サタン）」［＊1］というツールがよく使われていました。その後「Nessus（ネサス）」［＊2］や「Internet Scanner」［＊3］といったツールの利用が一般化していきます。1990年後半に利用されたこれらのツール群の初期バージョンが第1世代です（図1）。それまでの脆弱性検査といえば人手による作業が基本でしたが、初めてツール化した製品が登場したわけです。このころは、ちょうど、多くの企業システムがインターネットに接続され始めた時期です。人手だけでは検査をさばききれなくなったという事情もあり、利用が拡大しました。検査の対象は、主にメールサーバやWebサーバなど、外部に公開されているサーバが中心でした。

（図１）

第1世代のツールの特徴は何ですか
【郷間】これらは、攻撃者の発想で生まれてきたツールでした。それを、管理者が企業システムを守る道具として使っていたわけです。このため「システムを停止しないで検査する」といった、システム運用上必要な仕組みが抜け落ちていたといえます。
たとえば、500個の診断ルールがあるとすると、それを一気に投げてしまうため、診断対象のサーバが停止してしまうといった事故がよく発生しました。ただし、当時はまだ、24時間運用のシステムが少なく、検査のためにシステムを停止できるという運用面での時間的余裕がありましたので、このような事故が発生しても、現場でなんとか対応できていたわけです。しかし、2000年ごろになると、24時間運用のシステムが急激に増えて、検査のためのシステム停止が難しくなってきます。そこで、このような第1世代のツールでは、検査をあまりひんぱんに行えない状況になってしまったわけです。
このころ、ちょうど日本ではIDS［＊4］の利用が増えていきます。IDSは通信パケットを見るだけで、サーバを停止させたりする危険がありません。リアルタイムで24時間稼働するシステムを守るといった役目としては、当時の選択肢としてIDSしかなかったわけです。私自身も、このころはよくIDSを使っていました。しかし、一方で、システムを停止させることのない脆弱性診断ツールはできないものかという取り組みも行われていたのです。これが、その後登場する、第2世代の脆弱性診断ツールになります。


第2世代ツールの特徴は何だったのですか
【郷間】第2世代のツール群は、IDSと 同じように、24時間リアルタイムでシステムを守るという現場のニーズに対応しています。具体的には、診断対象への負荷をできるだけ軽減し、可能なかぎり システムを停止する必要のない方向へ進化していきます。「nCircle IP 360」［＊5］の初期 バージョンが、この世代にあたります。そしてさらに、最近の第3世代になると、診断機能に加えて管理機能が強化されていきます。利用対象も、現場の管理者 だけでなく、経営者も視野に入るようになりました。つまり、大規模なエンタープライズシステムを守るためのツールとして、またセキュリティを経営的な課題 であると考える経営者層のニーズを意識した方向に進化しているわけです。

「脆弱性」という言葉の定義はどう考えるべきですか
【郷間】脆弱性という言葉は、よく「セ キュリティホール」と並んで語られることが多いですね。ほぼ同じ意味ではあるのですが、ソフトウェアベンダーが使う場合、脆弱性の意味は「プログラム上の 問題に起因する弱点」といった話になります。これに対して、セキュリティホールといった場合は、その弱点の影響がセキュリティの問題に直結するということ を強調した表現といえます。
注意してもらいたいのは、ソフトウェアベンダーがこれらの言葉を使った場合、そこには「利用者の設定ミスによって生まれる弱点」は含まれていないという ことです。しかし、実際にシステムを守るユーザーの視点から見たときには、このような設定ミスによる弱点も重大な脆弱性であり、セキュリティホールになる のです。このように、脆弱性の定義／捉え方は、ベンダーかユーザーかの立場の違いによって微妙に異なります。
ベンダーにとっての脆弱性は、プログラムなどの設計ミスやバグであり、そこにユーザー側の設定ミスは含まれません。マイクロソフトなどベンダー各社が発 表する脆弱性情報も、設計ミスやバグに起因するものです。しかし、システム管理者などのユーザーから見れば、知らないうちにファイアウォールにポートを開 けてしまって、TELNETでやり取りできるような設定になっている場合も、自身のネットワークシステムの脆弱性として認識しなくてはいけないわけです。 つまり、管理者にとっては設計ミスであろうが、設定ミスであろうが、それによって生まれるシステム上の弱点はすべて把握し、解決したいわけです。脆弱性診 断ツールは、このような現場のユーザーのニーズに対応するツールであるといえます。

収集すべき脆弱性の情報については、何か違いが出てきますか
【郷間】ベンダー発信の脆弱性情報は外部 の情報であり、どのユーザーであれ企業であれ共通の情報です。これに対して、自身のシステム内部の脆弱性情報というのは、個々のシステムごとにユニークな 情報です。このような情報は、脆弱性診断を行うことによって初めてわかることなんです。そうした理由からも、脆弱性検査ツールの存在価値が高まっていると いえます。

［＊1］SATAN
Security Administrator's Tool for Analyzing Networksの頭文字をつなげたもの。

［＊2］Nessus
UNIX OSのサーバと、UNIX、Windows、Javaのクライアント環境で動作する脆弱性検査ツール。

［＊3］Internet Scanner
インターネット セキュリティ システム（ISS）社の脆弱性検査ツール。ISSの最初の製品。
http://www.isskk.co.jp/product/Internet_Scanner.html

［＊4］IDS
Intrusion Detection System。不正侵入検知システム。ネットワーク上のパケットを監視し、不正アクセスと思われるものを発見した際にアラートを出すとともに、その記録を保存する仕組み。

［＊5］nCircle IP360
米nCircle Network Security社が開発した脆弱性検査ツールで、京セラコミュニケーションシステムが販売する。
http://www.kccs.co.jp/security/ncircle/