SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

【Rapid7 insightVM】~ テレワーク環境で必要な脆弱性管理 ~

セキュリティ
2020.12.15



みなさま、こんにちは

昨今テレワーク環境への変化に伴って、求められている脆弱性管理の形が変わっております。自宅やコワーキングスペースから働き、クラウドサービスも利用する機会が増える中で、社外環境のIT資産に対する脆弱性管理やクラウドサービスの設定監査が求められています。今回は、Rapid7社の脆弱性管理製品であるinsightVMを用いて、どのように対応できるのかご説明いたします。


▼テレワークによる環境の変化

まずは簡単にテレワーク環境によってIT環境にどのような変化が生まれたのかをご説明します。

今まで

「今まで」は、本社や拠点内にPCやサーバ、ネットワーク機器が存在していました。セキュリティ対策もそれに合わせて、領域内のIT資産に対する脆弱性管理や領域内に侵入を試みる攻撃者から端末や機器を守っていました。

今まで.png

これから

テレワークが活発化した「これから」は、従業員が自宅やサテライトオフィスといった本社や拠点以外の環境からインターネットにアクセスを行います。また利便性を考慮し、クラウドへの資産の移行が活発化しクラウドサービスを利用する機会も増えます。業務によっては社内環境へVPNを利用しアクセスをすることも日常的になります。
これによって今まで通りの守る領域を決めたセキュリティ対策では、様々な環境下におかれたIT資産まで保護することができません。また、本社や拠点に外部からアクセスする従業員に向けたVPNやリモートデスクトップ環境を取り急ぎ用意せざるを得ない組織が多くありました。

これから.png


このようにIT環境が大きくかわることを余儀なくされたため、それに合わせたセキュリティ対策を行うことが必要となり、実際にテレワーク環境を狙った攻撃というのも観測されています。

▼テレワーク環境へのサイバー攻撃

先程まではテレワーク環境への変化について記載しました。ここでは、テレワーク環境への変化を狙ったサイバー攻撃をご紹介します。急務として進められたテレワーク環境作りの穴をつく攻撃は、実際に存在しています。

  • VPN機器の脆弱性

    企業がVPNを利用して社内ネットワークにアクセスする機会が増えました。そんな中で、VPN機器の脆弱性を利用した攻撃や注意喚起が行われています。例を挙げると、Fortinet「FortiOS」の脆弱性(CVE-2018-13379)に対応していない機器の一覧がハッカー集団によって公開された事例や、Pulse Secure「Pulse Connect Secure」の脆弱性(CVE-2019-11510)を利用した攻撃の被害が報告されております。これらのネットワーク機器の脆弱性自体は、2018年や2019年から存在しており決して新しいものはありません。ですが、テレワーク環境下で脆弱性の管理が適切にされている企業が少ないことや、テレワークによるアクセスの急増から使われていない機器を一時的に利用することなどが原因となり攻撃に利用されていることが見受けられます。テレワーク環境下においても継続した脆弱性の発見と管理が必要となります。
  • 公開状態にあるリモートデスクトップサービス

    リモートデスクトップサービスもテレワーク環境により、利用される機会が増えたサービスの1つです。リモートから社内のサーバへアクセスし作業を行うために利用する機能ですが、Rapid7社が公開しているインターネットセキュリティの調査レポート「NICER」によると、リモートデスクトップサービスが公開状態になっているサーバーの数がコロナ禍に入ってから増え続けており、2020年10月では平均して10万1900台余りが公開状態にあり、緊急事態宣言が出される前の2020年3月の平均を1割程度上回っていることが報じられました。これは、攻撃者が公開されているリモートデスクトップサービスにログインを繰り返すことでログインを突破し、社内のIT資産にアクセスすることに繋がります。サービスを利用する上で、意図していないリモートデスクトップサービスの公開を避けること、公開しているサーバを管理することが合わせて必要になります。
  • クラウドサービスの利用

    テレワーク環境下になることでクラウドサービスの利用もより増加しています。アクセスする場所を選ばず、社内にアプライアンス機器を持つ必要がないクラウドサービスですが、サービスの利用に囚われ管理が疎かになるケースが見受けられます。今年もAWSの設定ミスにより攻撃者に顧客情報が閲覧可能であったり、顧客情報が持ち出されるがインシデントが報じられています。必要な対策としては、一定のポリシーに準拠したクラウドサービスの利用です。多くの従業員が利用するため、利用できる機能や操作を制限し、ユーザの行動を把握することが重要です。これは、従業員のアカウントが盗まれた際にも攻撃者の行動を制限し、ユーザーの行動をログとして取得することで、不審な行動の早期発見や攻撃を受けた際の被害範囲を特定に繋がります。こういったチェック項目に対して企業が適切な設定を行えているのか、確認することで安全なクラウドサービスの利用が実現します。


それでは、テレワーク環境下におけるセキュリティ対策に必要なソリューションはどのようなものなのでしょうか。

▼テレワーク環境に必要なソリューション

ここまでご紹介した環境の変化と攻撃に対応するべく必要なソリューションはどのようなものになるのでしょうか。必要な要件としては、以下の2点が挙げられます。

継続した脆弱性の把握

テレワーク環境において、会社が持つIT資産の継続的な脆弱性管理を適切に行うことができている企業はどのくらい存在しているのでしょうか。先にご紹介した攻撃事例はどれも大手企業を対象としたものです。テレワーク環境によって生まれた被害もありますが、この変化を迎える前から脆弱性を把握し、対処することで被害の数を減らすことができたのは、言うまでもありません。外部の診断業者による1年や半年に一度の脆弱性診断では環境の変化に追いつけず、第三者による定期的な脆弱性診断に加えて、日々の細かい変化には内製化し継続した脆弱性管理がより一層求められます。

点在するIT資産の管理

テレワーク環境以前から求められる社内にあるネットワーク機器、サーバ、業務端末に加えて、クラウドサービスや社外に存在する機器の把握やセキュリティ対策が必要になりました。目に見る範囲に存在していた会社のIT資産が様々な場所に存在するテレワーク環境下でもそれらを適切に保護・管理しなければなりません。

▼insightVMによるテレワーク環境での脆弱性管理

Rapid7社 insightVMを利用することで、先に上げた要件を満たすことができます。従来の脆弱性管理と何が変わったのか、順を追ってご説明いたします。

従来の脆弱性管理

従来の脆弱性管理はオンプレ環境にスキャナー(スキャンエンジン)を置き、ネットワーク機器やサーバ、PCなどIT資産に潜む脆弱性を診断することが主流でした。スキャナーによる脆弱性診断の結果を管理者が管理画面(セキュリティコンソール)から確認し、パッチを当てるなど修正・対処を行っていました。社内に存在しているIT資産については問題なく脆弱性管理を行うことができますが、このままではテレワーク環境下での脆弱性管理には不十分であることがわかります。

脆弱性管理_従来.png

テレワーク環境での脆弱性管理

テレワーク環境下では、IT資産が様々な場所に点在しているため、社内環境に存在するスキャナーでは脆弱性の評価を行うことが難しいです。そこで登場するのが「insight Agent」になります。エージェントを端末に導入することで、端末内の脆弱性評価を自動で定期的に行い、その情報をクラウド上のプラットフォーム「insight Platform」にアップロードします。管理者はアップロードされた情報を元に「insight Platform」を通じてIT資産の状況ができます。また、従来のオンプレ環境の脆弱性情報ついても「insight Platform」に連携されることによって、「insight Platform」がハブのような役割を持ち、社内環境と社外環境のIT資産に継続した脆弱性管理を行うことができます。

脆弱性管理_これから.png

「insight Agent」を端末に導入することで
点在したIT資産にも継続的な脆弱性管理が可能!

▼insightVM 管理画面のご紹介

それでは実際にinsightVMの管理画面をご覧いただき、検出された情報がどのように視覚化されているのかご覧頂きたいと思います。

ダッシュボード

ダッシュボードでは、管理下にあるIT資産の状態や、総数などをひと目で確認することができます。また、ダッシュボード画面は自由にカスタマイズすることができ、カードとよばれる様々な角度からの資産情報を組み合わせて、利用者・運用者毎の立場で脆弱性の管理・対応が可能です。

dashboard2.png

資産情報

下図は、insight Agentが導入された端末情報を表示したページになります。導入されている端末のOSや、存在している脆弱性の評価結果が表示されています。insightVMでは、CVSSによるリスク評価に加えて、「リスクスコア」と呼ばれる独自の評価指標を取り入れており、見つかった脆弱性情報に対して、実際に攻撃者がその脆弱性を用いて攻撃を行っているか?や、トレンドとなる脆弱性か?などの観点が加味されています。

FireShot Capture 349 - InsightVM Security Console __ 脆弱性情報 - 192.168.11.85.png

脆弱性詳細ページ

IT資産内で見つかった脆弱性の詳細ページです。リスクスコアやCVSSといった評価指標に加えて、脆弱性の詳細が丁寧に文章化されています。

FireShot Capture 350 - InsightVM Security Console __ 脆弱性情報 - 192.168.11.85.png


また、脆弱性の解決方法は同一のページ内で確認することができ、脆弱性によっては複数の解決方法が提示され、組織に合わせた対処が行えます。

FireShot Capture 347 - InsightVM Security Console __ 脆弱性情報 - 192.168.11.85.png


ここまでは、insightVMによるテレワーク環境における脆弱性管理についてご説明しました。最後にクラウドサービスに向けた機能も存在しているためご紹介します。

▼クラウドサービスへの対応

先程は攻撃事例としてAWSの設定の不備による情報漏えいを紹介しまいた。insightVMは、ネットワーク機器やPCの脆弱性管理以外にもクラウドサービスの設定チェックやコンテナイメージのスキャン機能があり、今回はAWSの設定をチャックする機能であるCCA(Cloud Configuration Assessment)機能を紹介します。

機能概要

CCA機能は大きく2つ機能が存在します。

  • AWS各種サービスの設定・セキュリティ評価

    AWSに存在している各種サービス(IaaS/PaaS/SaaS)に対してCIS ベンチマークを中心とした128のルールを元に評価を行います。その結果、ポリシーを満たしていない項目が列挙され、推奨されているポリシーの詳細や対処方法が提示されます。

  • AWSアカウントで作成されている各種リソースの可視化


    S3 バケットなどAWSを利用中のユーザーが作成したリソースを一覧化できます。ユーザーによって作りっぱなしになっているリソースの発見や、管理者が意図していないリソースの存在を確認することができます。


これらの機能によって、管理上で認識していないリソースをなくし、存在しているリソースや利用中のサービスの設定不備を確認することができます。それでは実際の画面を紹介いたします。

Findings タブ

Findingsタブでは、128のルールをAWS上に照らし合わせた結果が表示されています。確認が必要な項目は「Failed」としてStatusが赤く表示され、Severity (重大度)や対象となるリソースが表示されることで、対処する際の判断を迅速に行うことができます。

CCA_Findings1.png

「Failed」となっている結果をクリックすることで詳細画面に遷移し、様々なルールのどの部分に適さなかったのか説明され、参考となるリンクと合わせて確認することで原因を把握することができます。

CCA_Findings2.png

合わせて、改善案も提出され、AWS SDK for Python (Boto3) 用サンプルを元に、管理端末上でPythonスクリプトを実行することで修正できます。必要に応じて対処ができるため、設定が勝手に書き換わることはありません。

CCA_Findings3.png

Resources タブ

連携しているAWS アカウントの各種リソースの一覧として見ることができます。

CCA_Resources.png

Rules タブ

CCA機能に存在しているルールを確認できます。クリックすることでルールの詳細ページへ飛ぶことも可能です。

CCA_Rules.png

Exceptions タブ

特定の結果に対して、除外設定を行うことができます。社内のポリシーや運用を考慮して、柔軟な管理を行うことができます。「Failed」として検出された結果に、除外する条件やコメントを記載することで簡単に除外設定することができます。

CCA_Exceptions1.png

              ↓

CCA_Exceptions2.png

ここまで、CCA機能について簡単に説明させていただきましたが、追加の費用なしでAWSに連携用のIAMポリシーとロールを作成いただくだけで簡単に使える機能になり、一度設定いただくことで継続的な設定のチェックが自動でできるので、クラウドへのセキュリティ対策に役立ちます。

▼まとめ

脆弱性管理という側面でテレワーク環境におけるセキュリティ対策をご紹介させていただきました。会社が保持しているIT資産の脆弱性を把握することで、攻撃者の付け入る隙を与えないことがより一層重要になります。エンドポイントセキュリティやメールセキュリティといった直接の攻撃対象に注目が行きがちですが、無意識のうちに公開している脆弱性も直接の攻撃対象になります。insightVMは効率のよい脆弱性管理をする上で欠かせないソリューションとなります。

ここまで読んでくださりありがとうございました!

他のおすすめ記事はこちら

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
秋池 幹直