脆弱性検査・管理・評価ツールのF-Secure Radarの紹介

f-secure-logo-red-bgw

こんにちは、臼田です。

先日セキュリティベンダーであるエフセキュア株式会社様が当社パートナー企業になりました

エフセキュア様は様々なセキュリティ商材を取り扱っており、弊社では以前Windows サーバ セキュリティ スタンダードを利用したことがありました。

F-Secure Windows サーバ セキュリティ スタンダードをEC2 Windowsへ導入して、検知テストしてみた。

そして、今回はエフセキュア様の新しい製品であります

F-Secure Radarを検証しておりますので、こちらをご紹介したいと思います。

F-Secure Radarとは

Radarは脆弱性検査のツールです。

しかしただ脆弱性が検査できるだけではなく、脆弱性を管理・評価することも出来ます。

といってもよくわからないと思いますので、下図をご覧ください。

001_scan_graph

こちらはRadarの検知している脆弱性の推移のグラフです。

例えばですが、監視しているシステムを定期的に脆弱性検査し続けると、脆弱性はグラフのように増えます。

日々脆弱性は増えていきます。

そのため、1回検査を行うだけでは意味がありません。定期的に検査を行い、新しい脆弱性にも対応していく必要があります。

また、前回の検査で見つけた脆弱性が塞がっているか等、脆弱性の管理を行ったり、発見した脆弱性を評価して、危険度の高いものから修正しなければなりません。

システムを継続して守っていく仕組みとして、脆弱性を検査・管理・評価していく必要がありますが、これを行うのがF-Secure Radarです。

Radarの特徴

Radarは主に下記の機能があります。

  • Discoveryスキャン
  • Systemスキャン
  • Webスキャン

それぞれ説明します。

Discoveryスキャン

指定したネットワークをスキャンして、存在するIPアドレスと開いているポートを発見します。

不審なホストや不要なポートを確認することが出来ます。

002_discovery_scan

また、見つけたホストをまとめて他のスキャン対象に入れることが出来ます。

Systemスキャン

OS・ミドルウェアの脆弱性をスキャンします。

発見した脆弱性の危険度と数が表示されます。左の赤い方がより危険なものです。

003_system_scan_

発見した脆弱性の詳細も確認でき、それぞれのCVSSスコアや対応するCVE番号、対策方法も確認できます。

004_system_sca_val

Webスキャン

Webアプリケーションの脆弱性をスキャンします。

Systemスキャンと同様に発見した脆弱性の危険度と数が表示されます。

005_web_scan

発見した脆弱性はCWEでの分類が確認でき、詳細では該当のソースコードや再現方法なども確認できます。

006_web_scan_val

その他特徴

主な特徴は上記の3種類のスキャン機能ですが、

PCI AVS要件を満たすスキャンソリューションであり、

PCI DSSの要件である「定期的な脆弱性スキャン」が可能な点もあげられます。

また、そのためにレポートをエクスポートすることも可能です。

構成

Radarの構成は大きく2種類あります。

  • クラウドタイプ:
    • スキャン: クラウド
    • 脆弱性情報の管理: クラウド
  • プライベートタイプ:
    • スキャン: プライベートサーバ
    • 脆弱性情報の管理: プライベートサーバ

脆弱性のスキャンは「Scan Node」から行われ、情報の管理は「Security Center」が行いますが、これらがクラウドにあるか、プライベートにあるかの違いになります。

それぞれの構成は下記のとおりです。

  • クラウドタイプ

radar_cloud

  • プライベートタイプ

radar_private

スキャンするためのシグネチャなどはF-Secureのサーバ上で管理されており、どちらの構成でも定期的に情報を取得しに行き更新されるので、常に最新の脆弱性情報を利用したスキャンが可能です。

最後に

ここまでF-Secure Radarの概要をご説明しました。

次回からは実際に検証した結果などをブログにしたいと思います。

AWS Cloud Roadshow 2017 福岡