本6月号でご紹介した「セキュリティ対策には網羅的な資産管理が不可欠 ～CAASMソリューションにより実現を支援～」　について取り組んでいただいている事案をご紹介します。

同様の取り組みをされている企業様のご参考になれば幸いです。
6月号の記事は記事はこちらからご覧ください。

#27 セキュリティ対策には網羅的な資産管理が不可欠  ～CAASMソリューションにより実現を支援～

https://www.iim.co.jp/security-report/no027

0.本記事でご紹介する事例の概要について

具体的には、自社内のPC、サーバー、ネットワーク機器のアプリケーションの脆弱性情報管理の対策としてご提案している内容になります。

■ご要望

・PC、サーバー、ネットワーク機器のアプリケーションの脆弱性情報管理の実現

・具体的には、金融ISACから毎日提供される脆弱性情報に該当するデバイスやアプリケーションが、自社環境にないかチェックしたい

■現状の取り組み　

・現在は国産の資産管理ソリューションでWindowsサーバー・PCは管理しているが、Linuxサーバの管理ツールがない

・Linuxサーバー関連は導入ベンダーから導入時に実装アプリ一覧も含めEXCELで提供を受けている

・金融ISACから提供される項目は、対象製品（サービス）ベンダー、対象製品（サービス）名、CVEなど。週5回提供あり

・上記資産情報を突き合わせして該当デバイス・アプリケーションを抽出

■課題

・すべて手作業で工数がかかること

・EXCEL情報は都度アップデートされるわけではなく、精度がよくない

・特にLinux上のアプリケーションの脆弱性情報が気になっている

■実装方法のご紹介

脆弱性情報管理のステップは一般的に以下になります。

①自社内の資産を網羅的に把握

②脆弱性情報とデバイス・アプリケーションとの紐づけと優先順位付け

③修正パッチ適用

④検証

上記課題を解決するため、①、②、④を弊社取扱ソリューションでご提案をいたしました。
③はお客様にて手作業です。

1.自社内資産の網羅的資産把握方法

エージェントレス・デバイス管理ソリューション「Armis」では、下記2つのデータ収集方法があります。

・既存管理ソリューションとの連携（API連携など）

・スイッチからのネットワークパケット解析

この2つの手段によりネットワークにつながっているデバイスを抜け漏れなく収集、管理することができます。

ネットワーク上という前提もポイントで、セキュリティ上の観点ではネットワークに繋がっているデバイスの把握が重要と位置づけております。

CAASM全体像

2つの手段があることが重要な理由は、IT環境においてはTCP/IPがデフォルトであり、ネットワークパケットからはMACアドレス、IPアドレスの把握が精一杯で、何かデバイスが存在するのはわかりますが、デバイスの自動分類までは実現が困難です。

そのため、エージェント型の資産管理ソリューションやウィルス対策ソリューションとの情報と紐づけることで、デバイスの種別まで自動分類することが可能となります。こちらは他製品にはない大きな特長です。

複数のデータソースを統合することにチャレンジをされたお客様は気にされているかもしれませんが、重複排除することが一つの大きな壁になります。

詳細は省きますが、Armisでは自動的に実現することができ、工数削減に寄与する大きなメリットとなります。

今回の対象については、以下をデータソースといたしました。

・WindowsPC　　　　→　既存導入ウィルス対策ソリューション

・Windowsサーバー　 →　既存導入ウィルス対策ソリューション

・Linuxサーバー　 　   →　新規エージェント型資産情報収集ツールご提案

・ネットワーク機器      →　ネットワークパケットとスイッチが持っている各種情報

※固有ソリューションの記載は控えさせていただきます。

※「スイッチの機器情報」、「ポートの一覧」、「MACアドレステーブル」、「ARPテーブル」、「隣接ネットワーク機器情報」などを

SNMP READで自動収集が可能です。

 2.脆弱性情報とデバイス・アプリケーションとの紐づけ   

Armisは脆弱性DBも持ち合わせており、マッチングと優先順位付けも可能です。

また、重要度を決める方法はお客様毎の環境によりカスタマイズが可能です。

デフォルトの基準は以下3つとしております。

・エクスプロイト（脆弱性を利用してコンピューターを攻撃するための不正プログラム ）の有無

・EPSS（The Exploit Prediction Scoring System） 実際に攻撃に悪用される確率を表す指標）の一定確率（0.8以上など）

・ビジネスインパクト

　　-重要なサーバー・システム（お客様へインタビューさせていただき登録）

　　-重要データ保有（お客様へインタビューさせていただき登録）

　　-デバイスのインターネットへの接続可否

脆弱性優先順位確認ダッシュボード

設定したリスクグループ毎の影響範囲確認ダッシュボード

※重複するところが多いデバイスを影響大と認識し優先順位をあげるなどの判断に利用いたします。

4.検証

 適用有無はArmisコンソールにてご確認いただきます。

今回のご提案は以下緑色範囲の機能にて網羅的資産管理・脆弱性情報管理を支援するご提案でした。

上記の図、右側のカテゴリにあるように、資産管理をServiceNowで管理されたいお客様はArmisを収集ツールと位置づけ、情報を自動連携で渡すこともできます。また、修正パッチ適用作業をJIRAやServiceNowにてチケット管理するご要望についても連携が可能です。

網羅的な資産管理そして脆弱性情報管理を実現するにはCAASMソリューションが強力なツールとなります。
IIMでは、インテグレーションから運用保守までサポートさせていただきますので、ご興味がございましたら是非担当営業へご相談ください。

執筆者

萩川　義則

営業技術本部 戦略ビジネス統括部 セキュリティ営業部　

サイバースレッド＆セキュリティオペレーション担当​
「情報漏洩対策」ソリューションLANSCOPEの立ち上げから担当し、多くの導入に従事。
「サイバー攻撃の防御・検知」としてNGAV、EDR、メールセキュリティとラインナップを拡げ、２０２２年から「サイバー攻撃の対応」としてSOC、インシデントレスポンスサービスなど、セキュリティオペレーションソリューションも担当。​