監訳者に聞く
リコージャパン コンサルティング推進室 エグゼクティブ コンサルタント。情報セキュリティ監査や個人情報保護、BCPのコンサルティングや、ISMSやプライバシー関連の研修を手掛ける。
脆弱性検査は誰もが実践すべき
Nessusはコンピュータの脆弱性を見付けて報告してくれる脆弱性検査ツールです。米国のテナブル・ネットワーク・セキュリティという企業の製品で、この分野では世界的に著名なツールの一つです。私は2002年頃にNessusの存在を知り、私自身も脆弱性検査のビジネスで使用していました。
ところがこのツール、日本ではまだ“知る人ぞ知る”という存在です。普及のネックとなっているのは、メニューや説明などが英語だからでしょう。Nessusを紹介している日本語のサイトはいくつかありますが、日本語のユーザーズマニュアルや解説書はありません。それが、本書「Nessus入門」を執筆したきっかけです。
個人的には、まず使ってみてほしいという思いがあります。そこで本書では、Nessusのインストール方法と、最初の脆弱性検査の実施方法を詳しく説明しています。また「検査結果のレポートが英語で理解できないので使いづらい」という方のため、レポート機能にも触れました。英語が不得意でも、レポートの理解はそれほど難しくありません。「デフォルトのパスワードを変えていない」「最新のパッチを適用していない」などがわかればよいと思います。
攻撃者と同じ目線で調べてみる
Nessusは、検査対象のコンピュータに様々な形でアクセスして脆弱性を洗い出していきます。どのような検査をするかは、あらかじめ定義された検査項目のほか、プラグインとして自作も可能です。こうした特徴から、Nessusは脆弱性を見付けてふさぐ“防御者側”だけではなく、脆弱性を見付けて悪さをする“攻撃者側”でも使われています。プラグインを自作してみると、攻撃方法についての理解も深まります。攻撃側と同じ土俵で脆弱性を見付けるのは、防御側にとってもプラスになります。
Nessusの商用版は有償ですが、個人利用であれば無償で使えます。そのため、個人で脆弱性検査を勉強するのにも向いています。「検査の対象はサーバーに限られる」と考える人がいるかもしれませんが、パソコンを検査しても脆弱性が結構見付かり、驚くと思います。
昨今はほとんどの企業にサーバーがありますので、企業ユーザーには脆弱性検査を習得し実践していただきたい。私の経験では、Nessusで企業のサーバーを検査して脆弱性が見付からなかったケースはほぼゼロです。また、脆弱性検査サービスを提供する側の人にも覚えて欲しいツールです。
Nessus入門
広口 正之 著
リックテレコム発行
2625円(税込)
-
・Nessus入門 (日経NETWORK,2012年9月7日)
