Microsoft Baseline SecurityAnalyzerの最良の代替手段

セキュリティは、ほとんどのネットワークおよびシステム管理者の主要な関心事です。今日の脅威シーンを考えると、それは非常に理解できます。サイバー攻撃はますます一般的になり、非常に大きな悪影響を及ぼし、理解するのが難しい場合があります。

サイバー犯罪者は、多くの組織の最も重要な資産であるデータにアクセスするために、システムとソフトウェアの脆弱性を常に探しています。これを防ぐには、Microsoft Baseline SecurityAnalyzerやMBSAなどの脆弱性評価ツールを使用する必要があります。ただし、このツールは年齢の兆候を示し始めています。手始めに、それはWindowsの最新バージョンでは直接動作せず、機能も多少制限されています。

正直なところ、まだMBSAを使用している場合は、別の方法に切り替える時期が来ています。本日、Microsoft Baseline SecurityAnalyzerの4つの最良の代替案を検討します。

まず、MBSAを見て議論を始めましょう。結局のところ、何を置き換えようとしているのかを知ることは役に立ちます。次に、一般的な脆弱性について説明します。次に、脆弱性スキャンツール、それらが何であるか、それらを必要とする人、およびそれらの本質的な機能が何であるかについて説明します。これにより、Microsoft Baseline SecurityAnalyzerの4つの最良の選択肢が明らかになります。各ツールを簡単に確認して、それらの機能のアイデアを提供します。

Microsoft Baseline Security Analyzer：説明

Microsoft Baseline Security Analyzer（MBSA）は、Microsoftのかなり古いツールです。これは確かに大規模な組織にとって理想的なオプションではありませんが、このツールは、サーバーがほんの一握りしかない中小企業にも役立つ可能性があります。その時代を除いて、ツールの主な欠点の1つは、Microsoftからのものであり、Microsoft製品以外のものをスキャンすることは期待できないことです。ただし、Windowsオペレーティングシステムだけでなく、Windowsファイアウォール、SQLサーバー、IIS、MicrosoftOfficeアプリケーションなどの一部のサービスもスキャンします。

他のほとんどの脆弱性スキャンツールとは異なり、これは特定の脆弱性をスキャンしません。代わりに、不足しているパッチ、サービスパック、セキュリティ更新プログラムなどを探し、システムの管理上の問題をスキャンします。そのレポートエンジンは、欠落している更新と設定ミスのリストを生成できます。

MBSAのもう1つの大きな欠点は、その古さのために、Windows 10と実際には互換性がないことです。MBSAのバージョン2.3は最新バージョンのWindowsで動作しますが、誤検知をクリーンアップしてチェックを修正するには、多少の調整が必要になる可能性があります。それは完了できません。例として、MBSAは、WindowsUpdateが有効になっている場合でもWindows10で有効になっていないことを誤って報告します。したがって、この製品を使用して、Windows10コンピューターでWindowsUpdateが有効になっているかどうかを確認することはできません。

これは使用するのが簡単なツールであり、それがうまくいくことをします。ただし、それはあまり効果がなく、実際には最近のコンピューターではそれほどうまく機能しないため、多くのユーザーが代替品を探すようになっています。

脆弱性101

先に進む前に、一時停止して脆弱性について簡単に説明しましょう。最新のコンピュータシステムとネットワークの複雑さは、前例のないレベルの複雑さに達しています。平均的なサーバーは、多くの場合、数百のプロセスを実行している可能性があります。これらの各プロセスはコンピュータプログラムです。それらのいくつかは、数千行のソースコードで構成される大きなプログラムです。このコード内には、予期しないことがある可能性があります。開発者は、ある時点で、デバッグ作業を容易にするためにバックドア機能を追加した可能性があります。その後、開発者が別の作業を開始したときに、この危険な機能が誤って最終リリースに到達した可能性があります。また、入力検証コードにいくつかのエラーがあり、特定の状況下で予期しない、そして多くの場合望ましくない結果を引き起こす可能性があります。

これらは私たちが脆弱性と呼んでいるものであり、これらのいずれかを使用してシステムやデータへのアクセスを試みることができます。これらの穴を見つけて悪用し、システムに侵入してデータを盗む以外に何もすることのないサイバー犯罪者の巨大なコミュニティがあります。悪意のあるユーザーが脆弱性を無視したり放置したりすると、システムやデータにアクセスしたり、さらに悪いことにクライアントのデータにアクセスしたり、システムを使用できなくするなどの重大な損害を引き起こしたりする可能性があります。

脆弱性はいたるところに見られます。多くの場合、サーバーまたはオペレーティングシステムで実行されているソフトウェアに忍び寄ります。また、スイッチ、ルーターなどのネットワーク機器、さらにはファイアウォールなどのセキュリティアプライアンスにも存在します。安全側にいるためには（安全側にいるようなものがある場合）、本当にどこでもそれらを探す必要があります。

脆弱性スキャンツール

脆弱性スキャンまたは評価ツールには、システム、デバイス、機器、およびソフトウェアの脆弱性を特定するという1つの主要な機能があります。これらは通常、既知の脆弱性を探すために機器をスキャンするため、スキャナーと呼ばれることがよくあります。

しかし、脆弱性スキャンツールはどのようにして脆弱性を見つけますか？結局のところ、彼らは通常、はっきりとは見えません。それらがそれほど明白であるならば、開発者はソフトウェアをリリースする前にそれらに対処したでしょう。これらのツールは、実際には、ウイルス定義データベースを使用してコンピューターのウイルス署名を認識するウイルス対策ソフトウェアと大差ありません。同様に、ほとんどの脆弱性スキャナーは、特定の脆弱性について脆​​弱性データベースとスキャンシステムに依存しています。このような脆弱性データベースは、多くの場合、ソフトウェアとハ​​ードウェアの脆弱性を見つけることに専念する有名な独立したセキュリティテストラボから入手できます。または、脆弱性スキャンツールのベンダーが提供する独自のデータベースにすることもできます。チェーンはその最も弱いリンクと同じくらい強いので、

誰がそれらを必要としますか？

その質問に対する一言の答えは非常に明白です：みんな！最近、ウイルス保護なしでコンピュータを実行することを考えている人がいないように、ネットワーク管理者は、少なくとも何らかの形の脆弱性保護なしではいけません。攻撃はどこからでも発生する可能性があり、予想外の場所と時間に攻撃を仕掛ける可能性があります。曝露のリスクを認識する必要があります。

脆弱性のスキャンは手動で実行できる可能性がありますが、これはほとんど不可能な作業です。脆弱性に関する情報を見つけるだけで、システムの存在をスキャンすることは言うまでもなく、膨大な量のリソースを消費する可能性があります。一部の組織は脆弱性の発見に専念しており、多くの場合、数千人ではないにしても数百人を雇用しています。それらを利用してみませんか？

多くのコンピュータシステムまたはデバイスを管理している人は誰でも、脆弱性スキャンツールを使用することで大きな恩恵を受けるでしょう。ほんの数例を挙げると、SOXやPCI-DSSなどの規制基準に準拠することは、多くの場合、準拠することを義務付けています。また、特に必要がない場合でも、脆弱性スキャンツールが導入されていることを示すことができれば、コンプライアンスの実証が容易になることがよくあります。

脆弱性スキャンツールの重要な機能

脆弱性スキャンツールを選択する際に考慮すべき多くの要因があります。考慮すべき事項のリストの一番上にあるのは、スキャンできるデバイスの範囲です。スキャンする必要のあるすべての機器をスキャンできるツールが必要です。たとえば、Linuxサーバーが多数ある場合は、Windowsマシンのみを処理するツールではなく、それらをスキャンできるツールを選択する必要があります。また、ご使用の環境で可能な限り正確なスキャナーを選択する必要があります。役に立たない通知や誤検知に溺れたくないでしょう。

製品間のもう1つの差別化要素は、それぞれの脆弱性データベースです。それはベンダーによって維持されていますか、それとも独立した組織からのものですか？どのくらい定期的に更新されますか？ローカルに保存されていますか、それともクラウドに保存されていますか？脆弱性データベースを使用したり、更新を取得したりするには、追加料金を支払う必要がありますか？ツールを選択する前に、これらの質問に対する回答を取得することをお勧めします。

一部の脆弱性スキャナーは、侵入型スキャン方式を使用します。システムパフォーマンスに影響を与える可能性があります。実際、最も煩わしいのは多くの場合、最高のスキャナーです。ただし、それらがシステムパフォーマンスに影響を与える場合は、それに応じてスキャンをスケジュールするために、事前にそれについて知っておく必要があります。スケジューリングについて言えば、これはネットワーク脆弱性スキャンツールのもう1つの重要な側面です。一部のツールにはスケジュールされたスキャンすらなく、手動で起動する必要があります。

アラートとレポートも脆弱性スキャンツールの重要な機能です。アラートは、脆弱性が見つかったときに何が起こるかに関係します。明確でわかりやすい通知はありますか？どのように送信されますか？画面上のポップアップ、電子メール、テキストメッセージを介して？さらに重要なことに、このツールは、検出した脆弱性を修正する方法についての洞察を提供しますか？一部のツールには、特定の種類の脆弱性の自動修復さえあります。パッチ適用は脆弱性を修正するための最良の方法であることが多いため、他のツールはパッチ管理ソフトウェアと統合されます。

レポートに関しては、個人的な好みの問題であることがよくありますが、レポートで期待し、見つける必要のある情報が実際にそこにあることを確認する必要があります。一部のツールには事前定義されたレポートのみがあり、その他のツールでは組み込みのレポートを変更できます。少なくともレポートの観点からは、最高のものについては、カスタムレポートを最初から作成できます。

MBSAの4つの優れた代替案

脆弱性とは何か、それらがどのようにスキャンされるか、および脆弱性スキャンツールの主な機能は何かがわかったので、見つけた最高または最も興味深いパッケージのいくつかを確認する準備が整いました。いくつかの有料ツールといくつかの無料ツールが含まれています。無料版と有料版の両方で利用できるものもあります。すべてがMBSAを置き換えるのに適しています。それらの主な機能を見てみましょう。

1. SolarWinds Network Configuration Manager（無料トライアル）

SolarWindsは、ネットワークおよびシステム管理者の間でよく知られている名前です。同社は約20年間、最高のネットワーク管理ツールのいくつかを作成してきました。そのトップツールの1つであるSolarWindsNetwork Performance Monitorは、最高のSNMPネットワーク帯域幅監視ツールの1つとして、常に高い評価と絶賛を受けています。同社はまた、無料のツールで非常に有名です。これらは、ネットワーク管理の特定のタスクに対処するために設計された小さなツールです。これらの無料ツールの中で最もよく知られているのは、Advanced SubnetCalculatorとKiwiSyslogサーバーです。

私たちの最初のツールであるSolarWindsNetwork Configuration Managerは、実際には脆弱性スキャンツールではありません。しかし、2つの特定の理由から、これはMBSAの興味深い代替手段であると考え、リストに含めることにしました。手始めに、この製品には脆弱性評価機能があり、特定のタイプの脆弱性に対処します。これは重要ですが、他の多くのツールでは対処できない、ネットワーク機器の構成ミスです。この製品には、脆弱性に関連しない機能も含まれています。

• 無料トライアル：SolarWinds Network Configuration Manager
• 公式ダウンロードリンク：https：//www.solarwinds.com/network-configuration-manager/registration

SolarWindsのネットワーク設定管理脆弱性スキャンツールとしての主な用途は、誤りや欠落について、ネットワーク機器構成の検証です。このツールは、デバイス構成の変更を定期的にチェックすることもできます。これは、他のシステムへのアクセスを容易にする方法で、ネットワークデバイスの構成（多くの場合、サーバーほど安全ではない）を変更することによって攻撃が開始されるため、便利です。このツールは、標準化された構成を展開し、プロセス外の変更を検出し、構成を監査し、違反を修正する自動ネットワーク構成ツールを使用して、標準または規制への準拠を支援することもできます。

このソフトウェアは、MBSAの代替案のリストでその地位を獲得したNational VulnerabilityDatabaseと統合されています。また、最新のCVEにアクセスして、Ciscoデバイスの脆弱性を特定することもできます。これは、ASA、IOS、またはNexusOSを実行しているすべてのCiscoデバイスで動作します。実際、他の2つの便利なツールであるASA用のNetworkInsightsとNexus用のNetworkInsightsが製品に組み込まれています。

SolarWinds Network Configuration Managerの価格は、最大50の管理対象ノードで2,895ドルから始まり、管理対象ノードの数とともに上昇します。このツールを試してみたい場合は、30日間の無料試用版をSolarWindsから直接ダウンロードできます。

2. OpenVAS

オープン脆弱性評価システム、またはOpenVASは、いくつかのサービスやツールのフレームワークです。これらを組み合わせて、包括的でありながら強力な脆弱性スキャンツールを作成します。OpenVASの背後にあるフレームワークは、Greenbone Networksの脆弱性管理ソリューションの一部であり、そこから要素が約10年間コミュニティに提供されてきました。システムは完全に無料で、主要なコンポーネントの多くはオープンソースですが、そうでないものもあります。OpenVASスキャナーには、定期的に更新される5万を超えるネットワーク脆弱性テストが付属しています。

OpenVASは2つの主要なコンポーネントで構成されています。最初のものはOpenVASスキャナーです。これは、ターゲットコンピューターの実際のスキャンを担当するコンポーネントです。2番目のコンポーネントはOpenVASマネージャーで、スキャナーの制御、結果の統合、中央のSQLデータベースへの保存などの他のすべてを処理します。このソフトウェアには、ブラウザベースとコマンドラインの両方のユーザーインターフェイスがあります。システムのもう1つのコンポーネントは、ネットワーク脆弱性テストデータベースです。このデータベースは、より包括的な保護のために、無料のGreenborne CommunityFeedまたは有料のGreenborneSecurityFeedのいずれかから更新を取得できます。

3.Retinaネットワークコミュニティ

網膜ネットワークコミュニティは、無償版である網膜ネットワークセキュリティスキャナからAboveTrust最もよく知られている脆弱性スキャナの一つです、。無料でありながら、機能が満載の包括的な脆弱性スキャナーです。欠落しているパッチ、ゼロデイ脆弱性、および安全でない構成の徹底的な脆弱性評価を実行できます。また、職務に合わせたユーザープロファイルを採用しているため、システム運用が簡素化されます。この製品は、システムの合理化された操作を可能にするメトロスタイルの直感的なGUIを備えています。

Retinaネットワークコミュニティの優れた点の1つは、有料の兄弟と同じ脆弱性データベースを使用していることです。これは、ネットワークの脆弱性、構成の問題、および欠落しているパッチの広範なデータベースであり、自動的に更新され、幅広いオペレーティングシステム、デバイス、アプリケーション、および仮想環境をカバーします。仮想環境について言えば、この製品はVMwareを完全にサポートしており、オンラインおよびオフラインの仮想イメージスキャン、仮想アプリケーションスキャン、vCenterとの統合が含まれています。

Retinaネットワークコミュニティの主な欠点は、256個のIPアドレスのスキャンに制限されていることです。大規模なネットワークを管理している場合、これはそれほど多くないかもしれませんが、多くの小規模な組織にとっては十分すぎる可能性があります。ご使用の環境に256を超えるデバイスがある場合、この製品について今述べたすべてのことは、その兄貴であるRetinaネットワークセキュリティスキャナーにも当てはまります。これは、StandardエディションとUnlimitedエディションで利用できます。どちらのエディションにも、Retinaネットワークコミュニティスキャナーと比較して拡張機能セットがあります。

4. Nexpose Community Edition

おそらくないほど網膜、などの人気NexposeからRapid7は、他のよく知られた脆弱性スキャナです。用としてNexposeコミュニティ版、それは少しの縮小版であるRapid7の包括的な脆弱性スキャナ。ただし、この製品にはいくつかの重要な制限があります。たとえば、最大32個のIPアドレスのスキャンに制限されています。これにより、ツールの有用性が最小のネットワークのみに大幅に制限されます。もう1つの制限は、製品を1年間しか使用できないことです。あなたがこれらの制限に耐えることができれば、それは優れた製品です。そうでない場合は、Rapid7の有料サービスをいつでも確認できます。

Nexpose Community Editionは、WindowsまたはLinuxの物理マシンで実行されます。仮想アプライアンスとしても利用できます。ネットワーク、オペレーティングシステム、Webアプリケーション、データベース、および仮想環境を処理する広範なスキャン機能を備えています。このツールは、新しいデバイスと新しい脆弱性がネットワークにアクセスした瞬間に自動的に検出して評価できる適応型セキュリティを使用しています。この機能は、VMwareおよびAWSへの動的接続と連携して機能します。このソフトウェアは、Sonar研究プロジェクトとも統合され、真のライブモニタリングを提供します。Nexpose Community EditionCISやNISTなどの一般的な標準への準拠を支援する統合ポリシースキャンを提供します。そして最後になりましたが、ツールの直感的な修復レポートは、修復アクションに関するステップバイステップの指示を提供します。