Overview
脆弱性スキャナー(Vulnerability Scanner)とは、コンピュータシステム、ネットワーク、アプリケーションに存在するセキュリティ上の脆弱性を自動的に検出するためのセキュリティツールです。CVEデータベースやベンダー固有の脆弱性情報と照合し、対象システムに既知の脆弱性が存在するかどうかを体系的にチェックします。
脆弱性スキャナーは、組織のセキュリティ態勢を継続的に評価するための基盤ツールとして位置づけられています。手動による脆弱性調査では膨大な時間と専門知識が必要ですが、スキャナーを使用することで数千台のシステムを短時間で自動的に検査できます。定期的なスキャンにより、新しく公開された脆弱性への迅速な対応が可能になります。
主要な脆弱性スキャナーとしては、商用製品ではTenable Nessus、Qualys、Rapid7 InsightVMなどが広く使用されています。オープンソースではOpenVAS(Greenbone)が有名です。Webアプリケーション専用のスキャナーとしてはBurp Suite、OWASP ZAPなども広く利用されています。目的や対象に応じた適切なツールの選択が重要です。
Details
脆弱性スキャンの種類
脆弱性スキャンは大きくネットワークスキャン、ホストスキャン、Webアプリケーションスキャン、コンテナ/クラウドスキャンに分類されます。ネットワークスキャンはリモートからポートスキャンやサービス検出を行い、外部から見える脆弱性を検出します。ホストスキャンはエージェントや認証情報を用いてシステム内部からパッチ未適用や設定不備を検出します。
Webアプリケーションスキャンは、SQLインジェクション、クロスサイトスクリプティング(XSS)などのアプリケーション固有の脆弱性を自動的に検出します。近年はコンテナイメージやクラウドインフラストラクチャの設定不備を検出するスキャナーも重要性を増しており、Trivy、Aqua Security、Prisma Cloudなどのツールが活用されています。
認証スキャンと非認証スキャン
非認証スキャン(Unauthenticated Scan)は、対象システムへの認証情報なしで外部からスキャンを実行する方式です。攻撃者の視点に近い検査が可能ですが、検出できる脆弱性は限定的です。外部に公開されたポートやサービスのバージョン情報から脆弱性を推測するため、誤検知(False Positive)が発生しやすい傾向があります。
認証スキャン(Authenticated Scan)は、対象システムの認証情報を使用してログインした上でスキャンを実行する方式です。インストールされたソフトウェアのバージョン、パッチ適用状況、設定ファイルの内容を直接確認できるため、より正確で網羅的な脆弱性検出が可能です。認証スキャンは非認証スキャンに比べて検出率が大幅に向上するため、可能な限り実施が推奨されます。
スキャン結果の分析と優先順位付け
脆弱性スキャンの結果には、通常CVSSスコアに基づく深刻度の分類、脆弱性の説明、影響を受けるコンポーネント、推奨される対策が含まれます。しかし、大規模な環境では一度のスキャンで数千から数万件の脆弱性が検出されることも珍しくなく、すべてに即座に対応することは現実的ではありません。
効果的な優先順位付けには、CVSSスコアだけでなく、資産の重要度、インターネットへの公開状況、悪用コードの存在有無、EPSSスコアなどの複数の要素を組み合わせたリスクベースの脆弱性管理(Risk-Based Vulnerability Management:RBVM)が推奨されます。これにより、限られたリソースを最もリスクの高い脆弱性に集中させることができます。
誤検知と検知漏れへの対処
脆弱性スキャナーの結果には誤検知(False Positive)と検知漏れ(False Negative)が含まれることがあります。誤検知は実際には存在しない脆弱性を報告するケースで、バージョン情報のみに基づく判定やカスタムパッチの適用が認識されない場合に発生します。
検知漏れは実際に存在する脆弱性をスキャナーが検出できないケースで、スキャナーのデータベースに未登録の脆弱性、スキャン対象外のコンポーネント、特殊な設定環境での脆弱性が該当します。誤検知と検知漏れを最小限に抑えるため、複数のスキャナーの併用、認証スキャンの実施、定期的なスキャナーの更新が重要です。
継続的な脆弱性管理の実現
従来のポイントインタイム(特定時点)のスキャンから、継続的な脆弱性管理(Continuous Vulnerability Management)への移行が求められています。CI/CDパイプラインへのスキャナーの統合、クラウド環境のリアルタイム監視、エージェント型スキャナーによる常時検査を組み合わせることで、新しい脆弱性の検出から対応までの時間を短縮します。
また、SCA(Software Composition Analysis)ツールと連携し、オープンソースの依存関係に含まれる脆弱性も継続的に監視することが重要です。開発環境から本番環境まで一貫した脆弱性管理パイプラインを構築することで、脆弱性の早期発見と迅速な修正を実現します。
Security Measures
- 01定期的なスキャンスケジュールの確立:脆弱性スキャンを少なくとも月次で実施し、重要なシステムについては週次でのスキャンを推奨します。新しいCVEが公開された場合は、臨時のスキャンを実行して影響の有無を迅速に確認できる体制を整えましょう。
- 02認証スキャンの積極的な実施:非認証スキャンに加えて、認証情報を使用したスキャンを実施することで検出精度を大幅に向上させてください。スキャン用の専用アカウントを作成し、最小権限の原則に基づいて必要な読み取り権限のみを付与しましょう。
- 03リスクベースの優先順位付けの導入:CVSSスコアのみに頼らず、資産の事業的重要度、インターネット公開状況、悪用コードの有無、EPSSスコアなどを総合的に考慮した優先順位付けを行い、最もリスクの高い脆弱性から対応してください。
- 04スキャン結果の追跡とSLAの設定:検出された脆弱性に対して、深刻度に応じた対応期限(SLA)を設定し、チケット管理システムで進捗を追跡してください。対応漏れを防ぐため、期限超過の脆弱性を自動でエスカレーションする仕組みも有効です。
- 05CI/CDパイプラインへのスキャン統合:開発プロセスの早い段階で脆弱性を検出するため、脆弱性スキャンをCI/CDパイプラインに統合してください。コンテナイメージスキャン、依存関係チェック、IaCテンプレートの検査を自動化し、脆弱なコードの本番環境への展開を防ぎましょう。
- 06スキャナーのデータベースとエンジンの定期更新:脆弱性スキャナーの検出データベース(プラグイン/フィード)を常に最新の状態に保ってください。古いデータベースでは新しく公開された脆弱性を検出できないため、自動更新を有効にし、更新状況を定期的に確認しましょう。
Incidents
📋 Equifax個人情報漏洩事件 — スキャン結果の未対応(2017年)
2017年、米国の信用情報機関Equifaxで約1億4,700万人の個人情報が漏洩する大規模なデータ侵害が発生しました。原因はApache Struts 2の脆弱性(CVE-2017-5638)でしたが、この脆弱性はEquifaxの脆弱性スキャナーによって事前に検出されていました。
しかし、パッチ適用の担当者への通知メールが適切に処理されず、スキャン結果のフォローアップ体制にも不備があったため、2か月以上にわたり脆弱性が放置されました。この事件は、脆弱性スキャンの実施だけでは不十分であり、検出された脆弱性への確実な対応プロセスの重要性を示す象徴的な事例となりました。
📋 脆弱性スキャンの検知漏れによるランサムウェア被害(2021年)
2021年、欧州の製造業企業がランサムウェア攻撃を受け、生産ラインが2週間停止する被害が発生しました。調査の結果、攻撃の侵入口はVPNアプライアンスの既知の脆弱性でしたが、企業が使用していた脆弱性スキャナーはネットワーク機器の認証スキャンに対応しておらず、この脆弱性を検出できていませんでした。
この事件は、脆弱性スキャナーの対象範囲(カバレッジ)の確認と、ネットワーク機器やIoTデバイスなどスキャンが困難な資産に対する別途の脆弱性管理プロセスの必要性を浮き彫りにしました。企業はスキャナーの変更と、全資産を対象とした包括的な脆弱性管理プログラムの構築に着手しました。
📋 大規模スキャンによるシステム障害の発生(2022年)
2022年、日本の金融機関において、脆弱性スキャンの実行中にオンラインバンキングシステムがダウンする障害が発生しました。原因は、大量のスキャンリクエストがWebアプリケーションサーバーの処理能力を超過したことでした。認証スキャンの設定で並列度が高すぎたことが直接の原因でした。
この事件を受け、金融機関はスキャン実行ポリシーの見直しを行い、業務時間外のスキャン実施、スキャンの並列度制限、ステージング環境での事前テスト、段階的なスキャン実施(小規模から開始して影響を確認しながら範囲を拡大)などの対策を導入しました。