意外と多い! 脆弱なセキュリティ製品
ソリューションベンダー各社が提供する仮想アプライアンス(Virtual appliance、以降VA)は有効なセキュリティ展開手段ですが、そのVAに含まれるモジュール自体に脆弱性が存在し、これを足掛かりにユーザーのIT環境への侵害などの問題を招いては意味がありません。
しかし調査によると、こうした脆弱性が残ったままのVAが、サイバーセキュリティ市場で有名な大手ベンダーを含む各社によって提供されているケースが判明しています。
Orca Security社は540社により提供される2,218のVA製品を評価し、その脆弱性をスキャンし、他のリスクに関する客観的なテストと評価を行い、スコアリングをしました。驚くことに計401,517件もの脆弱性が検知されたそうです。
Orca Security社の調査レポート、2020 State of Virtual Appliance Security Reportについてはこちら(英文)
安心して運用できるVA
特権管理製品ベンダーのBeyondTrust(BT)社のVAは、ほんの一握り、上位8%の対象製品のみが得たA+(優秀)の評価を得ました。
BT社PAMソリューションプラットフォームのベースBeyondInsightのVAは内部にセキュリティ問題を抱えておらずその強固性が証明されました。反対に評価対象のベンダーの15%が不合格を受けました。
BT社の物理および仮想アプライアンスは以下のセキュリティ機構で強固なセキュリティ維持しています。
- CIS標準にアプライアンス環境の構成強化と、認可しない他ベンダーのアプリケーションのインストールを排除
- BeyondTrust Updater(アプライアンスに実装済)を用いて自動でセキュアなアップデート
- SUPI(Security Update Package Installer)を毎月リリースしてセキュリティ更新を提供
ところでBT社が今回ご紹介したVAで提供する主力製品のパスワード管理ソリューション、Password SafeのSafeは、英語で「金庫」の意味をもち、この製品名称も「金庫」から来ています。まさに「金庫」と名付けられるくらい強固なセキュリティ設定が施されています。
重要なIT資産の、しかも特権IDのパスワードを管理するためのソリューションを選択する上で、その製品自体の堅牢性が重要であることは言うまでもありません。
BT社のVAで提供されるPassword Safeは、こちら