Nessus20周年コミュニティイベントに参加してきました
こんにちは、坂巻です。
2018年12月5日に開催された「Nessus20周年コミュニティイベント」に参加してきましたので、イベントの様子についてご紹介したいと思います。 こちらのイベントはコミュニティパーティで、今回は、Nessusの生みの親、tenable.ioのCTOであるRenaud Deraisonさんより、tenable.ioの開発経緯を聞きながらビールをうぐうぐできる熱いイベントです。なお、本エントリは技術的な内容ではございませんのでご了承ください。
会場内はこんな様子でした。
「ビールを飲みながらラフに楽しんでください」ということでスタートです。
tenable.io開発経緯について
Renaud Deraisonさんより、tenable.io開発経緯の発表です。通訳の方がいましたので、リラックスして聞くことができました。
Nessusのはじまりは20年前の17歳の時。当時は「ネットワーク」、「Unix」、「開発」の3つの事にしか興味がなかった。その3つで何かを作りたかった。当時利用していたスキャンソフトが、機能的に物足りないと感じた事が、Nessus開発の始まりだった。Nessusは1年程度で開発した。Nessusを開発した時にBugtraqで公開した。 フィードバックが数十件あり、Nessusのポテンシャルと需要に気が付いた。その1年半後には大学を中退し、tenableの開発に専念した。だから、大学の知識は低いかもw2002年にtenableの共同設立者であるJackらと出会い、脆弱性管理のビジネスをしていこうと決めた。それがtenableの始まり。
Nessusはセキュリティ業界と一緒に成長してきた。20年前の脆弱性は、今と比べるとまったく別ものにみえると思う。当時のユーザはDMZ(Webサーバ、メールサーバ等)だけにスキャンを実施していたが、現在はインフラ全体をスキャンするようになった。なぜ、そのような変化があったかというと、IOTなど常にインフラが変わっていく時代になり、場合によってはパブリックサーバ自体が変更になったり、サーバを手動で管理していくのが困難な時代になった。
本日、会場にいるtenableのスタッフが着用しているシャツの背中にコードが書いてあり、そのコードは脆弱性を検知する一部のコードである。実はそのコードがtenableにとっては、とても重要な時点になった。そのコードを使って脆弱性を検知したユーザーが、システムが十分に管理されていない事に気が付き、tenableの重要性が理解されるようになった。そして、そのコードはサイバーエキスポージャーを把握するために、全体的かつ継続的に使用されるコードになっていった。
現在、話題になっている攻撃には共通点がある。0dayの脆弱性を突くのではなく、古くから知られた脆弱性を悪用したものが多い。1つの製品で全ての問題を解決することはできないので、tenableが深く信じているのは基本的な管理が重要ということ。システムが最新のバージョンを利用しているか、バッチが適用されているか等そういう基本的なプロセスが重要である。セキュリティ業界はいつも、1つの製品で全て解決することを求められている。最初はファイアーウォール、次はIDS、IPS、現在おそらくエンドポイントプロテクションを期待しているユーザが多いけど、実は一番重要なのは、基本的な管理にある。それは20年前も一緒で、今でも変わらないと信じている。
20年で状態が変わらないサーバーの時代から、デジタルトランスフォーメーション時代に変わったので、手動で管理することができなくなった。これからは自社の情報を守るだけでなく、パートナーの情報も守らないといけない時代になった。SaaSというモデルに移行していることで、自社の一部が他社にアウトソースされることが多く、それらも守る必要がある。これからもさらに複雑性が上がり、変化も早い頻度でおきる。デジタルトランスフォーメーションの中にある皆の会社は、SW会社と考えている。デジタルトランスフォーメーションの時代に非常に重要だと考えているのは、会社の競争力が落ちないように、独自のソフトウェアを開発していく傾向があるが、その会社のセキュリティチームは、それに対しては割と保守的な場合が多くあると思う。重要なのは、セキュリティチームもそういった開発を安全に開発できるかという考え方に変えないといけない。tenableはエンドポイントを超えて、CVEという情報を超えて、会社が新しい技術を採用する時は、サイバーエクスポージャーが広くならないようにどうやって会社を守るか考えている。
スピーチの後は、Q&Aの時間がありました。
Question
Nessusを開発するうえで一番大変だったことは何か?
Answer
多くの事が大変だったw脆弱性に対するパッチがあるかどうか、そのソフトウェアにアクセスを取るのが大変だった。あとは高尚なコード書く事が大変だった。
Question
スキャナのコンプライアンスチェックを強化する予定はあるか?
Answer
コンプライアンス管理と脆弱性管理は非常に合うものだと思う。だけど脆弱性は変化が激しい。話題なった脆弱性について半年後に覚えている人は少ない。それに比べコンプライアンスはあまり変わらない。コンプライアンス強化を考慮しているけど、今はUnix、Windowsくらいの対応になっているのが現実。2つ考えていて、1つはパブリッククラウドなど対応領域を広げていくこと。 2つめは現在のコンプライアンスを強化していくこと。2019年はおそらく対応領域を広げる方を重視していくと思う。その翌年はまた振り返りを行い、日本市場にあうように考えていく。
Question
Nessus8でなくなってしまったNessus cmdは復活する予定はあるか? Nessusが出力するレポートの日本語化予定はあるか?
Answer
製品全体のローカライゼーションは始めている。最初はtenable.ioのプラグインをローカライゼーションをする。プラグインはNessusと同様なので、将来的にはNessusのレポートも日本語になる。
Nessus cmdについては、様々な意見がありすごく協議した。cmdについては2つの問題があった。1つはユーザーがマルチスキャナにできるコードを書いたけど、正しく書けていなくて、過負荷になって落ちる場合があった。2つめは、正しく書いたユーザーがtenableの競合他社みたいになってきてしまった。そういう2つの理由からcmdをなくす決断をした。 色んな意見があるが、cmdを無くしたおかけで新しい機能も組み込めるようになった。ユーザーがスキャンをするのではなく、おそらくここに脆弱性があると予測するような機能開発にも着手している。
ネットワーキング
Q&Aの後は、時間の許す限りのネットワーキングです。ビール片手にユーザー同士で歓談です。
お腹がすいたら、厳選したお米と海苔と塩でいただくふわっふわのおにぎりを、その場で握っていただけます。
カワイイtenableケーキもありました。
最後はtenableカントリーマネージャのDoug Neumanさんよりご挨拶がありました。
最後に
tenable.ioの開発に至った経緯を直接聞くことができ、また、様々な方とお話する場でもあり大変貴重なイベントでした。 次回は30周年に開催するw(?)そうなので、10年後を楽しみにしたいと思います。ごはんとおともさんのおにぎり最高に美味しかったです。ありがとうございました。