クラウドにおける重大なリスクの排除

クラウド環境における重大な重大度の問題を発見し、修正することで、チームをアラートに溺れさせることなく解決できます。

脆弱性スキャン (Vulnerability Scanning)

脆弱性スキャンは、ITシステム、ネットワーク、およびソフトウェアのセキュリティ上の欠陥を検出して評価するプロセスです。

Wiz エキスパートチーム
0 分読み

脆弱性スキャンとは?

脆弱性スキャンは、ITシステム、ネットワーク、およびソフトウェアのセキュリティ上の欠陥を検出して評価するプロセスです。 脆弱性スキャナーは、セキュリティ更新プログラムの欠落、設定ミス、公開されたシークレットなど、既知のセキュリティ脆弱性をシステムを継続的に検索するツールです。

脆弱性スキャンは、ネットワーク、エンドポイント、API、依存関係、社内およびサードパーティのアプリ、その他の領域など、組織のITエコシステムのすべての分野を横断し、潜在的なサイバー攻撃から保護するために行われます。 また、スキャナは通常、目的ベースであり、ネットワークベース、ホスト、データベースに適した専門分野を持つことができます。

組織固有のセキュリティニーズに応じて、脆弱性スキャンを個々のシステムに限定することも、ネットワークインフラストラクチャ全体を含むように拡張することもできます。 脆弱性スキャナーに効果を与えるには、すべての既知の脆弱性に関する情報で最新の状態に保たれているデータベースが必要です。

そのようなデータベースの 1 つが 国家脆弱性データベース(NVD). これらのデータベースには、脆弱性の重大度、潜在的な影響、推奨される軽減手法などの情報が含まれています。 スキャナーは、ターゲット環境での検出を比較し、データベース内の検出と照合し、フラグを立てて報告し、一致した検出に対して修復オプションを提供します。 

脆弱性スキャンが重要な理由

BenefitDescription
Proactive SecurityVulnerability scanning allows organizations to identify and address security weaknesses before attackers can exploit them. This proactive approach helps in preventing potential security breaches, reducing the risk of data loss, financial damage, and reputational harm.
Compliance and Regulatory Requirements

Vulnerability scanning helps organizations achieve data and software security, to better align with compliance frameworks such as SOC 2, ISO 27001, and NIST 800-53.

Cost savingsIdentifying and remedying vulnerabilities early can significantly reduce the costs associated with a security breach. The financial implications of a breach often extend beyond immediate remediation efforts to include legal fees, fines, and lost business. Regular scanning helps organizations allocate resources more efficiently by prioritizing vulnerabilities based on their severity.
Asset Visibility and ManagementVulnerability scanning provides an inventory of all devices and software on a network, offering valuable insights into the security posture of an organization's digital assets. This visibility is crucial for effective asset management, ensuring that all parts of the IT infrastructure are up-to-date and secure.
Improved security postureRegular scanning enables organizations to continuously assess and improve their security posture. By identifying and tracking vulnerabilities over time, organizations can measure the effectiveness of their security strategies and make informed decisions about where to invest in security improvements.

脆弱性スキャンのユースケースの種類

脆弱性スキャンに使用される手法には、アクティブまたはパッシブがあります。 

  • アクティブ スキャンは、非認証スキャンとも呼ばれ、シミュレートされた攻撃、クエリ、またはリクエストをターゲットに送信して、バッファオーバーフロー、暗号化されていないデータ、認証プロセスの破損などの潜在的な脆弱性を特定します。 

  • パッシブ スキャンは、クレデンシャルスキャンとも呼ばれ、ネットワークトラフィックを(積極的にプローブすることなく)目立たないように分析し、攻撃者がマルウェアの拡散やデータの盗用/操作に利用できる脆弱性を検出します。

脆弱性スキャンは、次のようなさまざまなユースケースに分類することもできます。

  • ネットワークの脆弱性スキャン: ネットワークをスキャンして、開いているポート、パッチが適用されていないソフトウェア、脆弱なネットワークプロトコルなどの脆弱性を検出します。

  • Web アプリケーションの脆弱性スキャン: SQL インジェクション、クロスサイトスクリプティング (XSS)、Web アプリケーションに固有のその他の脆弱性などのセキュリティ上の欠陥を探します。

  • データベースの脆弱性スキャン: データベース内の脆弱性 (構成ミス、脆弱な認証、許可が厳しすぎるなど) の特定に重点を置きます。

  • ホストの脆弱性スキャン: 個々のホスト (サーバーまたはワークステーション) で実行され、オペレーティング システム レベルまたはインストールされているソフトウェアの脆弱性を特定します。

  • コンテナおよび仮想化環境のスキャン: コンテナ化されたアプリケーションと仮想環境の脆弱性を特定するように設計されています。 これには、コンテナイメージの脆弱性のスキャンと、コンテナと仮想マシンの管理が含まれます。

脆弱性スキャンの仕組み

脆弱性スキャン・プロセスには、脆弱性のスコーピングから特定、評価、修復まで、いくつかのステップが含まれます。 ここは'各ステップの簡単な内訳です。

ステージ 1: スコーピング

スキャンする前に、ターゲット ネットワークとアプリケーションを決定し、エンドポイントをマッピングし、依存関係を特定する必要があります。 スコーピングには、内部デバイス、外部向けシステム、またはその両方の組み合わせをスキャンするかどうかの決定も含まれます。

ステージ2:ツールの選択

利用可能な商用ツールとオープンソース ツールのプールから、組織に合ったソリューションを選択する必要があります'のセキュリティ要件。 また、このソリューションには、脆弱性スキャンを容易にするユーザーフレンドリーなコンソールがあり、分散したハイブリッドネットワーク全体で最適に機能し、すべての環境でリスクの特定を容易にする必要があります。 

プロのヒント

Agentless scanning solutions typically have quicker setup and deployment and require less maintenance. They can scan all workloads using cloud native APIs and connects to customer environments with a single org-level connector. If the approach is agent-based, this type of deployment will require ongoing agent installation, update, and maintenance effort.

詳細はこちら

ステージ 3: 構成

スキャンツールは、目的のパラメータに従ってスキャンするように設定する必要があります。 構成の詳細には、ターゲット IP アドレスまたはドメイン名の指定、スキャンの強度または速度の設定、スキャン手法の定義が含まれます。

プロのヒント

No organization should resort to using default policy configurations. This is because default policy configurations rarely address an organization’s nuanced business-, region-, and industry-specific requirements.

詳細はこちら

ステージ 4: スキャンの開始

コマンドを使用するか、GUIなどの選択したツールによって提供されるオプションを使用して、プロセスを開始します。 一部のリソースでは、スキャンをスケジュールできるため、設定を選択すると、この手順が自動的に行われます。

プロのヒント

Scanning Virtual Machine images and Container images for vulnerabilities and secrets during the CI/CD pipeline can help increase efficiency in the software development process by detecting vulnerabilities and security risks before deployment to the runtime environment.

詳細はこちら

ステージ 5: 脆弱性の検出

Example of vulnerability detections aligned with the CISA KEV catalog

スキャナーは、一般的な脆弱性の種類をプローブしたり、システムの攻撃対象領域を、使用中の脆弱性データベースに保存されているパラメーターと比較したりします。 スキャンされる脆弱性は、通常、データベース、ネットワークなど、スキャナーの専門分野と一致します。 

ステージ 6: 脆弱性分析

Example vulnerability dashboard that prioritizes issues by contextual severity

スキャン後、このツールは、特定された脆弱性の包括的なリストを生成し、重大度に基づいて並べ替え、誤検知をフィルタリングし、修復のオプションを提供します。  

ステージ 7: 修復と再スキャン

Example vulnerability detection with easy-to-follow remediation instructions

スキャン結果に基づいて、セキュリティチームは、脆弱性レポートの推奨事項に応じて、セキュリティパッチの展開、ソフトウェアバージョンの更新、またはセキュリティ設定の再構成により、特定された脆弱性を解決します。 

修復後、ターゲットシステムを再スキャンして、脆弱性が正常に解決されたことを確認する必要があります。 

ステージ 8: 継続的な監視

新しい脆弱性は常に表面化する可能性があります。 脆弱性スキャンは、新たな脅威を迅速に特定して対処するために、間隔を空けてスケジュールする必要があります。

脆弱性スキャンと侵入テスト

脆弱性スキャンは、さまざまなシステムにわたる既知の脆弱性を定期的に特定することを目的とした自動化されたプロセスです。 ソフトウェアツールを使用して、古いソフトウェア、パッチの欠落、設定ミスなどの問題を検出し、これらの脆弱性をリストアップしたレポートを作成し、多くの場合、重大度別にランク付けします。

一方、ペネトレーションテストは、倫理的なハッカーによって、通常は毎年、より少ない頻度で実施される手動の詳細な演習です。 サイバー攻撃をシミュレートして特定の領域の弱点を発見し、悪用することで、攻撃者がどのようにシステムに侵入できるかを示すことを目的としています。 その結果、悪用可能な脆弱性をリストアップするだけでなく、セキュリティ対策を強化するための推奨事項も提供する詳細なレポートが作成されます。

脆弱性スキャンではシステムの脆弱性を幅広く把握できますが、ペネトレーションテストでは、これらの脆弱性が攻撃でどのように悪用されるかについて的を絞った分析が行われます。

脆弱性スキャンの一般的な課題 

上記で強調したプロセスは、以下の課題のいずれか(またはすべて)が表面化した場合、効果がない可能性があります。 

ChallengeDescription
Resource sharingVulnerability scanning requires significant network bandwidth and computing resources. Production (in the IT environment) is also resource intensive. When both processes share resources provided by the organization’s infrastructure, resource contention occurs, and can negatively impact the scan's efficiency.
False positivesThe vulnerability scanning tool could incorrectly identify a non-existent vulnerability, wasting time and effort. For instance, a developer could be patching a dependency in the source code, and the tool might alert that malicious activity is taking place. Misconfiguring the vulnerability scanner usually leads to these kinds of false positives.
Alert FatigueVulnerability scanning generates quintillions of alerts, making it overwhelming for the security team to painstakingly track and address each alert, and that can lead to neglecting critical vulnerabilities.
Siloed toolingUsing vulnerability scanning tools with other security solutions across different environments or departments can create data silos and distort vulnerability management. That can hinder collaboration and make it difficult to have an end-to-end view of the organization's security posture.
Inability to contextualize vulnerability impactVulnerability scanning tools may be ineffective for risk management as they’re often ignorant of asset criticality, business processes, and system dependencies. They also likely won’t understand the impact of vulnerabilities across individual organizations.
High ownership costsVulnerability scanning tools and the associated infrastructure can be expensive to procure, deploy, and maintain. Organizations may also need to invest in staff training and dedicated personnel employment. All of that translates to increased costs.
Ongoing maintenance effortsSome vulnerability scanning solutions require agents to be installed on target systems for continuous scanning. Managing the installation, updates, and maintenance of these agents across many systems can be challenging and time consuming.
Blind spotsThis occurs when vulnerabilities in certain assets are missed during scanning, and may be caused by a tool’s inability to detect vulnerabilities on specific asset types, such as cloud infrastructure, mobile devices, or IoT devices.
Software development delaysTraditional vulnerability scanning practices require extensive scans and manual verification, causing delays in the development of applications and the release of software updates. These kinds of delays ultimately hurt an organization’s bottom line.

上記の課題はあるものの、脆弱性スキャンは正しく実装されれば非常に貴重です。 次のセクションでは、その方法を説明します。

脆弱性スキャンツールに求められる主な機能

上記の課題に効果的に対処し、軽減するには、次の主要な機能を備えた脆弱性スキャンツールを選択します。

1. 連続スキャン機能

継続的な監視は、脆弱性スキャンの最後の重要な段階です。 脆弱性が出現したときに継続的にスキャンして検出できるツールを選択することで、組織は常に脆弱性のない状態を保つことができます。 

2. エージェントレスのアプローチ

脆弱性スキャンツールはエージェントレスである必要があるこれにより、ターゲット・システムにスキャン・エージェントをインストールして管理する必要がなくなります。 このようなツールは、ネットワークベースのスキャン技術を利用し、消費するリソースが少なく、非互換性の可能性を排除します。 

プロのヒント

It's important to be able to scan virtual machines or containers even if the workload is offline. Security teams can remediate the vulnerability before the workload is online and effectively at risk.

But with an agent-based scanner, since an agent is part of the runtime of the workload, the scanning can only happen while the workload is online. This also applies for authenticated scanning, which means you can test applications in their ready-to-run configuration both in staging and production environments.

詳細はこちら

3. リスクベースの優先順位付け

Example visualization of the risk-based context that a vulnerability scanner should provide

以下を提供するツールを選択してください 脆弱性のリスクベースの優先順位付け重大度、悪用可能性、資産の重要度などの要因に加えて、外部への露出、クラウドのエンタイトルメント、シークレット、設定ミス、マルウェアの存在などの要素を考慮します。 この機能を備えたツールを使用すると、多数のリスク要因を持つ脆弱性を関連付けて、発生するアラート疲れの量を軽減できます。

4. クロスクラウド/クロステクノロジーのサポート

A cloud vulnerability scanner must be able to run across your entire technology inventory

環境のハイブリッド化と分散化が進んでいます。 基盤となるOSやプログラミング言語に関係なく、AWS、GCP、Azure、OCI、Alibaba Cloudなど、さまざまなストレージ環境やクラウドプロバイダーをスキャンできるテクノロジーに依存しないツールを選択して、ソフトウェアの互換性を確保します。

プロのヒント

The cloud poses unique challenges that traditional vulnerability management solutions may struggle to address. Cloud vulnerability management is a proactive security solution that can keep up with the speed and scale of the cloud.

Traditional scanning tools were able to identify and remediate vulnerabilities but often flagged vulnerabilities that were non-critical and irrelevant. Furthermore, traditional vulnerability management had a significant deficiency: context.

5. デプロイ前のスキャン

Vulnerability scanning should be extended into the CI/CD pipeline to scan VM and container images and catch issues before they ever reach production

仮想マシン (VM) とコンテナーをスキャンし、デプロイ前にそれらの潜在的な脆弱性を検出できるツールを選択します。 これにより、本番環境全体に脆弱性が広がるのを防ぐことができます。 

6. 包括的なワークロードカバレッジ

スキャンツールは、プロアクティブで効率的な脆弱性修復を可能にするために、さまざまなシステムやワークロード(サーバー、エンドポイント、データベース、Webアプリケーション)を同時にスキャンできる必要があります。

7. データに基づく可視化レポート

脆弱性データをさまざまな形式(表、グラフ、チャートなど)で視覚的に表現することは、意思決定と修復の鍵となります。 このツールは、スキャン結果にそのレベルの視覚化を提供し、簡単に共有できるようにする必要があります。 

8. 統合 

このツールは、SIEM(Security Information and Event Management)、ログ管理、SCM(Security Configuration Management)のツールとシームレスに統合して、脅威の検出と インシデント対応、およびまとまりのあるセキュリティ管理を提供します。 

統合された脆弱性管理ソリューション

脆弱性スキャンは強力なセキュリティ体制に不可欠ですが、クラウドセキュリティ管理の1つの側面にすぎません。 堅牢で包括的なセキュリティ戦略を確立するには、脆弱性スキャンを他のクラウドセキュリティアプローチと組み込んだ統合脆弱性管理ソリューションを採用します。 Wiz脆弱性管理ソリューション

以前のプラットフォームでは、解決すべき問題ごとに何千ものアラートを受け取っていました。 Wizを使用すると、脆弱性をより効率的に理解できます。 今では、単に問題を特定するのではなく、問題に力を注ぐことができます。

統合された脆弱性管理ソリューションが組織をどのように強化できるかを直接体験する'セキュリティ体制、 Wizのライブデモをリクエストする. Wizの統合脆弱性管理ソリューションを使用することで、組織のセキュリティ体制を強化できる理由と方法を理解する機会が得られます。 

Agentless Scanning = Complete Visibility

Learn why CISOs at the fastest growing companies choose Wiz to identify and remediate vulnerabilities in their cloud environments.

デモを見る

続きを読む

Vulnerability Prioritization in the Cloud: Strategies + Steps

Vulnerability prioritization is the practice of assessing and ranking identified security vulnerabilities based on critical factors such as severity, potential impact, exploitability, and business context. This ranking helps security experts and executives avoid alert fatigue to focus remediation efforts on the most critical vulnerabilities.

AI Risk Management: Essential AI SecOps Guide

AI risk management is a set of tools and practices for assessing and securing artificial intelligence environments. Because of the non-deterministic, fast-evolving, and deep-tech nature of AI, effective AI risk management and SecOps requires more than just reactive measures.

SAST vs. SCA: What's the Difference?

SAST (Static Application Security Testing) analyzes custom source code to identify potential security vulnerabilities, while SCA (Software Composition Analysis) focuses on assessing third-party and open source components for known vulnerabilities and license compliance.