開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 会員限定
  • 2005/12/19

脆弱性診断を究める(4):大規模システムに対応する脆弱性管理(最終回)

前回は、脆弱性診断の技術的な仕組みや、その方向性、検疫ネットワークとの関係などについて解説した。最終回となる今回は、管理の集中化と分散化、権限の細分化や限定化、脆弱性の数値化のアプローチなどを紹介する。




郷間佳市郎 (Kyoma Keiichiro)
京セラコミュニケーションシステム セキュリティ事業部 技術部長
古くから通信事業者系ネットワークのセキュリティ設計に携わるなど、豊富な知識と経験を持つ。NetWorld+Interop 2004 Tokyoでは、NOC(Network Operations Center)チームとして参加、コアメンバーとして全体のセキュリティ運営に従事した。


第4回(最終回)・大規模システムに対応する脆弱性管理
Point1>>
大規模システムの脆弱性管理には、スケーラビリティや一元管理など、これまでのシステムにはない機能が必要となる。
Point2>>
スケーラビリティを確保するには、診断機能と管理機能を分離する構成をとる。また、権限の区分も必要。
Point3>>
システムの脆弱性に対する認識を共有化して理解を深めるために、危険度の数値化というアプローチが進められている。
Point4>>
脆弱性診断(VA)の管理の部分が重視されるようになり、脆弱性管理(VM)へ進化してきている。

大規模システム特有の
ニーズ

脆弱性管理システムは、脆弱性の診断結果を継続的に蓄積することによって、脆弱性の視点からネットワーク全体の安全を管理するためのソリューションである。セキュリティに関するコンプライアンスを考える場合、重要なソリューションとして注目される。
たとえば、米国では連邦政府がセキュリティ管理のフレームワーク作りを目指して「FISMA」(連邦情報セキュリティ管理法)を制定したが、その準拠状況を管理するソリューションとして、脆弱性管理システムが採用されている。
このような利用シーンにおいては、システムの一部分ではなく、全体を網羅する脆弱性管理が不可欠になる。つまり、大規模システムに対応できる「スケーラビリティ」や一元的な管理を実現する、これまでにない機能が必要となってくる。
今回は、最新の脆弱性管理システムが、大規模環境に対応するためにどのような仕組みを実装しているのか紹介したい。

従来の脆弱性診断製品でも、大規模環境にまったく対応できなかったわけではない。しかし、実装の場面では、規模の拡大に応じた運用工数の増加が必要となっていた。この工数増加を抑え、いかにして少ない運用工数で脆弱性診断を実現するのか。次に、その代表的な例を説明したい。


Webセキュリティ ジャンルのトピックス

Webセキュリティ ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!