リスク戦略に取り組み脅威を分析する

環境をセキュアに保つための最大の課題の1つは、脆弱性改善策の優先順位付けです。Nexposeが各スキャンで何百何千もの脆弱性を発見した場合、どの脆弱性またはアセットに最初に対処すべきかどのように判定すればよいでしょう？

各脆弱性には、どの程度エクスプロイトしやすいか、またエクスプロイト実行後に攻撃者が環境に何を行えるかを示す、多数の特徴があります。これらの特徴が、組織にもたらされる脆弱性リスクを構成しています。

またアセットにも、組織のセキュリティに対してどれだけ敏感であるかに基づくリスクが、関連付けられています。例えば、クレジットカード番号を含むデータベースが危険にさらされた場合、組織が被るダメージはプリンタが危険にさらされた場合よりはるかに大きくなります。

本アプリケーションは、リスクを計算するための複数の戦略を提供します。各戦略が特定の特徴に重点を置き、組織独自のセキュリティニーズまたは目的に従ってリスク分析できるようになっています。またカスタム戦略を作成して、それらを本アプリケーションへと統合可能です。

リスク戦略を選択したら、以下の方法でそれを使用可能です：

• 脆弱性がウェブ・インターフェース表内に表示される方法を、リスクに従って分類します。脆弱性を分類することで、どの脆弱性に即座の対処が必要で、どれが危機度が低いかを、視覚的に素早く判定できるようになります。
• レポート内で経時的にリスク傾向を閲覧することで、改善作業の進行度を追跡可能となります。また、リスクがネットワークのセグメント内で経時的に増減するかどうかを究明できるようになります。

リスク戦略に取り組むには、以下のアクティビティを行います：

• リスク戦略を変更し過去のスキャンデータを再計算する
• カスタムリスク戦略を利用する
• リスク戦略の表示順を変更する

リスク戦略を比較する

• リアル・リスク戦略
• 時間的プラス戦略
• 時間的戦略
• 加重的戦略
• PCI ASV 2.0リスク戦略

各リスク戦略は、侵害の可能性、侵害の影響力、アセットの重要性といった要因を計算する式に基づいています。各式により、異なる範囲の数値が生成されます。例えば、リアル・リスク戦略では生成される最大スコアは1,000ですが、時間的戦略では上限がなく、一部のリスクの高い脆弱性のスコアは十万単位に達します。これに留意することは、異なるリスク戦略を異なるスキャンデータのセグメントへと適用する場合に重要です。リスク戦略を変更し過去のスキャンデータを再計算するをご参照ください。

多くの利用可能なリスク戦略がリスクの評価に同じ要因を使用しており、それぞれの戦略が異なる方法で関連要因を評価・集約しています。よくあるリスク要因は3つのカテゴリ、脆弱性の影響、初期エクスプロイトの困難度、脅威露出へとグループ化されています。脆弱性の影響および初期エクスプロイトの困難度の要因は、共通脆弱性評価システム（CVSS）で利用されている6つのベース評価基準です。

• 脆弱性の影響は、当該脆弱性を通して攻撃されたときにアセット上で侵害が起こり得るもの、およびその侵害の度合いです。影響は3つの要因からなります：
• 機密性への影響は、認可されていない個人/システムへのデータの開示を指します。
• 整合性への影響は、認可されていないデータ修正を指します。
• 可用性への影響は、アセットデータへのアクセス権の損失を指します。
• 初期エクスプロイトの困難度は、当該脆弱性を通しての攻撃が成功し得る度合いであり、3つの要因からなります：
• アクセスベクトルは、攻撃者が脆弱性をエクスプロイトするためにアセットにどれだけ接近する必要があるかを指します。攻撃者がローカルアクセスを持つことが必須である場合、リスクレベルは低くなります。近接の必要性がなくなるにつれ、リスクが高くなります。
• アクセスの複雑さは、エクスプロイト実行の難易度に基づくエクスプロイトの可能性であり、必要スキルおよびエクスプロイトを実現可能とするために必須である状況の両方が勘案されます。アクセスの複雑さが低いと、リスクが高くなります。
• 認証要件は、脆弱性をエクスプロイトするために攻撃者が行わなければならない認証の回数に基づく、エクスプロイトの可能性です。必須である認証回数が少ないと、リスクが高くなります。
• 脅威露出には3つの変数が含まれます：
• 脆弱性の齢は、セキュリティ・コミュニティが当該脆弱性を認知している期間を示す尺度です。脆弱性の存在が知られている期間が長いほど、脅威コミュニティがエクスプロイトの手段を考案済みである可能性が高く、アセットが当該脆弱性をターゲットとする攻撃にさらされる可能性が高くなります。脆弱性の齢が高いほど、リスクが高くなります。
• エクスプロイトによる脆弱性の露呈は、Metasploitフレームワークにより脆弱性について最も高くランクされたエクスプロイトのランクです。このランキングは、既知のエクスプロイトがどれだけ容易に/一貫して脆弱なアセットを侵害可能であるかを示します。エクスプロイトによる脆弱性の露呈が高いほど、リスクが高くなります。
• マルウェア露出は、当該脆弱性に関連するマルウェア・キット（エクスプロイト・キットとも呼称）のまん延度を示します。関連する脆弱性を通してターゲットを攻撃するための犯意のあるコードを、攻撃者が記述・利用しやすくなるよう、このようなキットをデベロッパーが作成しています。

選択を行う前に、各モデルの要旨をレビューしてください。

リアル・リスク戦略

この戦略は、エクスプロイトまたはマルウェア・キットが開発されている脆弱性の改善策の優先順位付けに使用可能であるため、推奨されます。環境を単純なエクスプロイトに露出させるセキュリティ・ホール、または広くアクセス可能なマルウェア・キットにより開発された感染は、かなりの確率で即座の対処が必要です。リアル・リスク・アルゴリズムは、各脆弱性に固有のエクスプロイトおよびマルウェア露出評価基準を、CVSSベースの可能性・影響評価基準に適用します。

特に本モデルは、脆弱性の機密性への影響、整合性への影響、および可用性への影響に基づき、0～1,000の最大影響を算出します。この影響は、常に1未満の分数である可能性要因により乗算されます。可能性要因には、CVSS（アクセスベクトル、アクセスの複雑さ、認証要件）からの脆弱性の初期エクスプロイトの困難度評価基準に基づく初期値があります。当該可能性は、脅威露出（脆弱性の齢により高まる可能性）により変わり、時間とともに1に近づいて行きます。時間とともに可能性が高くなる率は、エクスプロイトによる脆弱性の露呈およびマルウェア露出に基づいています。脆弱性のリスクは、CVSS影響評価基準により定められる最大影響を超えて高くなることは、決してありません。

リアル・リスク戦略はベース影響として要約され、侵害の初期可能性により変更され、経時的な脅威露出の高まりにより変わります。可能な最大リアル・リスク・スコアは、1,000です。

時間的プラス戦略

時間的戦略と同様、時間的プラスは、脆弱性の存在が知られるようになった期間の長さを重視します。しかし、部分的な影響ベクトルのリスク要因を拡張して、脆弱性の影響のより細分な分析を提供します。

時間的プラス戦略は、機密性への影響、整合性への影響、可用性への影響をアクセスベクトルと併せて使用して、脆弱性の近接ベースの影響度を集約します。影響度は、エクスプロイト難易度評価基準（アクセスの複雑さおよび認証要件）の集約により加減されます。その後リスクは時間とともに、脆弱性の齢に従い高くなります。

時間的プラス戦略に上限はありません。一部の高リスクの脆弱性スコアは十万単位に達します。

この戦略では、影響値が「部分的」である脆弱性に関連するリスクと、同一ベクトルに関する影響値が「なし」である脆弱性に関連するリスクを区別します。これは特に、これらを同等に扱う時間的戦略から、時間的プラス戦略に切り替える場合に留意しておくことが重要です。この切り替えを行うと、環境内ですでに検出されている多くの脆弱性のリスク・スコアが上昇します。

時間的戦略

この戦略では、脆弱性の存在が知られるようになった期間の長さを重視しますので、改善策に関して古い脆弱性を優先するために役立つ可能性があります。古い脆弱性はエクスプロイトされやすいと見なされています。なぜなら、攻撃者は長い間それらについて把握しているからです。また脆弱性の存在が長く知られているということは、あまり一般的でないエクスプロイトが存在する可能性が高くなります。

時間的戦略は、機密性への影響、整合性への影響、可用性への影響を、アクセスベクトルと併せて使用して、脆弱性の近接ベースの影響度を集約します。影響度は、エクスプロイト難易度評価基準（アクセスの複雑さおよび認証要件）の集約による除算により、加減されます。その後リスクは時間とともに、脆弱性の齢に従い高くなります。

時間的戦略に上限はありません。一部の高リスクの脆弱性スコアは十万単位に達します。

加重的戦略

加重的戦略は、サイトに重要性レベルを割り当てる場合に、またはターゲットアセット上で実行中のサービスに関連するリスクを評価したい場合に有用です。本戦略は主にサイト重要性、アセットデータ、および脆弱性タイプに基づいており、以下の要因を重視します：

• 脆弱性の危険度、範囲は1～10の数値、本アプリケーションが各脆弱性について計算
• 脆弱性インスタンスの数
• アセット上のサービスの数およびタイプ、例えばデータベースはビジネス値が高くなる
• 設定時にサイトに割り当てる重要性レベルや加重については、動的サイトを設定する、または、利用を開始する：情報＆セキュリティ。
• 加重的リスク・スコアは脆弱性の数によって計算されます。アセット上の脆弱性の数が多いということは、リスク・スコアが高くなることを意味します。スコアは、1桁または2桁の小数点の付いた数で表されます。

PCI ASV 2.0リスク戦略

PCI ASV 2.0リスク戦略は、ペイメントカード業界データセキュリティ基準（PCI DSS）バージョン2.0に基づくスコアを、すべての発見された脆弱性に適用します。スケール範囲は、1（最低の深刻度）～5（最高の深刻度）です。本モデルを利用して、認定済みのスキャンベンダー（ASV）およびその他のユーザーは、PCI 2.0スコアに基づく脆弱性を分類しPCIレポート内のこれらのスコアを閲覧して、PCIの見地からリスクを評価可能となります。また5ポイントの深刻度スケールにより、リスクの評価が一目でわかるシンプルな方法が、組織へと提供されます。

リスク戦略を変更し過去のスキャンデータを再計算する

現在のリスク戦略の変更を選択して、環境内のリスクについて別の見解を得ることが可能です。この変更を行うと今後のスキャンで、過去のスキャンのリスク・スコアとはかなり異なるリスク・スコアが表示される可能性があるため、過去のスキャンデータのリスク・スコアを再計算するオプションも用意されています。

上記を行うと、経時的なリスク追跡に連続性が生じます。リスク傾向チャートを持つレポートを作成する場合、特定のスキャン日範囲のスコアを再計算して、これらのスコアに今後のスキャンのスコアとの一貫性を持たせることが可能です。これにより、リスク傾向レポート内での連続性が確保されます。

例えば、露出ベースのリスク分析を行うため、12月1日に時間的リスク戦略からリアル・リスク戦略へと変更したとします。第一四半期の終わりに改善策のリソースに投資したことがリスク軽減にプラスの影響を与えていることを、組織内の管理職に実証したいと考えているとします。そこで、戦略としてリアル・リスクを選択して、4月1日からのすべてのスキャンデータのリアル・リスク・スコアを計算することにしました。

計算時間はそれぞれ異なります。再計算されるスキャンデータの量により、処理に数時間かかる場合があります。進行中の再計算はキャンセルできません。

注意: 再計算の進行中に、スキャンやレポートといった通常のアクティビティを実行可能です。しかし、再計算中にリスク・スコアが組み込まれたレポートを実行すると、スコアの一貫性が失われる可能性があります。レポートには、以前使用したリスク戦略からのスコア、および新しく選択した戦略からのスコアを組み込むことが可能です。

リスク戦略を変更して過去のスキャンデータを再計算するには、以下のステップを行います：

リスク戦略ページに移動します。

1. セキュリティ・コンソール・ウェブ・インターフェースの管理アイコンをクリックします。

コンソールに管理ページが表示されます。

2. グローバル設定の管理をクリックします。

セキュリティ・コンソールにグローバル設定パネルが表示されます。

3. 左ナビゲーションペインのリスク戦略をクリックします。

セキュリティ・コンソールにリスク戦略ページが表示されます。

新しいリスク戦略を選択します。

1. リスク戦略ページのリスク戦略の矢印をクリックすると、それについての情報が表示されます。

情報には、当該戦略とその計算された要因の説明、戦略のソース（内蔵またはカスタム）、および現在選択されている場合は使用されている期間が含まれます。

2. 希望のリスク戦略のラジオボタンをクリックします。
3. 過去のスキャンデータのスコアを再計算しない場合は、再計算しないを選択します。
4. 保存をクリックします。以下のステップは無視しても構いません。

（任意）リスク戦略利用履歴を表示します。

これにより、異なるリスク戦略がすべてのスキャンデータに、どのように適用されたかを見ることができます。この情報は、リスク傾向の一貫性にギャップが生じないようにするため、どれだけの量のスキャンデータを再計算すべきかを厳密に決定するために役立ちます。また、なぜリスク傾向データのセグメントの一貫性がなくなるかの判定にも役立ちます。

1. リスク戦略ページの利用履歴。
2. リスク戦略の利用ボックスの現在の利用タブをクリックして、スキャンデータ全セットに現在適用されているすべてのリスク戦略を表示します。

完了成功しなかった計算が示されている、ステータスコラムに注目してください。これを参考にもう1度計算を実行して、リスク傾向データ内の一貫性のないセクションのトラブルシューティングに役立てることが可能です。

3. 監査を変更タブをクリックして、インストールの履歴におけるリスク戦略利用状況の各修正を表示できます。

このセクション内の表には、異なるリスク戦略が適用された各インスタンス、影響を受けた日付範囲、および変更を行ったユーザーがリストされます。またこの情報は、リスク傾向の非一貫性のトラブルシューティングやその他の目的にも有用である場合があります。

4. （任意）CSVにエクスポートアイコンをクリックして、変更監査情報をCSV形式へとエクスポートします。これは、社内目的のためスプレッドシートで利用可能です。

過去のスキャンデータのリスク・スコアを再計算します。

1. 再計算するスキャンデータの日付範囲のラジオボタンをクリックします。全履歴を選択すると、最初のスキャン以降のすべてのデータのスコアが再計算されます。
2. 保存をクリックします。

コンソールに、再計算が完了した割合を示すボックスが表示されます。

カスタムリスク戦略を利用する

組織のセキュリティ目標に固有の視点からリスクを分析するカスタム戦略を利用して、リスク・スコアを計算したいと場合があるかと思います。カスタム戦略を作成して、Nexpose内で使用可能です。

各リスク戦略は、XML文書です。カスタム戦略用の固有の内部識別子である、id属性を含むRiskModel要素が必要です。

RiskModelには以下の必須サブ要素が含まれます。

• 名前：これは、ウェブ・インターフェースのリスク戦略ページに現れる戦略の名前です。データタイプは、xs:stringです。
• 説明：これは、ウェブ・インターフェースのリスク戦略ページに現れる戦略の説明です。データタイプは、xs:stringです。

注意: Rapid7プロフェッショナル・サービス・オーガニゼーション（PSO）が、カスタム・リスク評価開発を提供します。詳細については、アカウントマネージャーにお問い合わせください。

• VulnerabilityRiskStrategy：このサブ要素には、戦略の数学的式が含まれます。内蔵戦略のXMLファイルを、VulnerabilityRiskStrategyサブ要素の構造およびコンテンツのモデルとして、参照することが推奨されます。

カスタムリスク戦略XMLファイルには以下の構造が含まれます：

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<RiskModel id="custom_risk_strategy">

   <name>Primary custom risk strategy</name>

   <description>

       このカスタムリスク戦略は数々の重要要因を重視します。

   </description>

   <VulnerabilityRiskStrategy>

       [formula]

   </VulnerabilityRiskStrategy>

</RiskModel>

注意: 本アプリケーションの予測どおりの動作を確保するために、カスタム戦略XMLファイルが適切に構成されており、すべての必須要素を含むことを確認してください。

カスタムリスク戦略をNexpose内で利用可能とするには、以下のステップを行います：

1. カスタムXMLファイルを、ディレクトリ

[installation_directory]/shared/riskStrategies/custom/globalへとコピーします。

2. セキュリティ・コンソールを再起動します。

カスタム戦略が、リスク戦略ページのリストの上部に現れます。

リスク戦略の表示順を設定する

リスク戦略の順序を設定するには、任意のorderサブ要素を追加して、以下の例にみられるように0を超える数値を指定します。0を指定すると、戦略が最後に現れるようになります。

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<RiskModel id="janes_risk_strategy">

   <name>Jane’s custom risk strategy</name>

   <description>

        ジェーンのカスタムリスク戦略は、ジェーンにとって重要な要素を重視しています。

   </description>

   <order>1</order>

   <VulnerabilityRiskStrategy>

       [formula]

   </VulnerabilityRiskStrategy>

</RiskModel>

表示順を設定するには：

1. 以下のいずれかのディレクトリに表示される、希望のリスク戦略XMLファイルを開きます：

• カスタム戦略の場合：[installation_directory]/shared/riskStrategies/custom/global
• 内蔵戦略の場合：[installation_directory]/shared/riskStrategies/builtin

3. orderサブ要素を追加して、前出の例のように当該ファイルに数値を指定します。
4. 保存してファイルを閉じます。
5. セキュリティ・コンソールを再起動します。

リスク戦略の表示順を変更する

リスク戦略をリスク戦略ページ上にリストする順序を変更可能です。これは、多くの戦略がリストされており、最も頻繁に利用するものを上部近くにリストしたい場合に、有用である可能性があります。順序を変更するには、リスク戦略のXMLファイル内の任意のorder要素を利用して、各戦略に順序の番号を割り当てます。これは、RiskModel要素のサブ要素です。カスタムリスク戦略を利用する をご参照ください。

例：組織内の3人が以下のカスタムリスク戦略を作成しました：ジェーンのリスク戦略、ティムのリスク戦略、およびテリーのリスク戦略。各戦略に順序番号を割り当て可能です。また、内蔵リスク戦略にも順序番号を割り当て可能です。

結果として表示順序は以下のようになります：

• ジェーンのリスク戦略 (1)
• ティムのリスク戦略 (2)
• テリーのリスク戦略 (3)
• リアル・リスク (4)
• 時間的プラス (5)
• 時間的 (6)
• 加重的 (7)

注意: 内蔵戦略の順序は、製品アップデートの度にデフォルトの順序へとリセットされます。

カスタム戦略は常に、内蔵戦略より上に表示されます。つまり、カスタム戦略と内蔵戦略に同じ番号を割り当てた場合、さらには内蔵戦略に上位の番号を割り当てた場合でさえも、カスタム戦略の方が常に先に表示されます。

リスク戦略に番号を割り当てない場合、対応するグループ（カスタムまたは内蔵）の最下部に表示されます。以下は、1つのカスタム戦略と2つの内蔵戦略の順序が1と番号付けられた場合の、順序の例です。

1つのカスタム戦略と1つの内蔵戦略に番号が付けられていません：

• ジェーンのリスク戦略 (1)
• ティムのリスク戦略 (2)
• テリーのリスク戦略 (番号の割り当てなし)
• 加重的 (1)
• リアル・リスク (1)
• 時間的プラス (2)
• 時間的（番号の割り当てなし）

ティムのカスタム戦略は、2つの内蔵戦略より下位の番号が付けられていますが、それらより上に表示されていることに注目してください。

スキャンによるリスク評価の仕組みを理解する

アセットは、スキャンが完了ステータスになるまで、複数のスキャン・フェーズを経ていきます。すべての必須スキャン・フェーズを経ていないアセットは、進行中のステータスとなります。Nexposeは、完了のスキャンステータスを持つアセットに基づくリスク・スコアのみを計算します。

スキャンが一時停止または停止した場合、本アプリケーションはリスク・スコアの計算に、完了ステータスを持たないアセットからの結果は使用しません。例：10アセットが同時にスキャンされました。7つは完了スキャンステータスを持ち、3つは持っていません。当該スキャンは停止されました。完了ステータスを持つ7つのアセットの結果に基づき、リスクが計算されます。3つの進行中のアセットについては、最後に完了されたスキャンのデータが使用されます。

スキャンステータスを判定するには、スキャンログを参照してください。スキャンログを表示する をご参照ください。