FutureVulsで脆弱性診断してみた

FutureVulsとは

　

年間１００００件 を超える脆弱性情報を常に情報収集し
自社内のシステムに関係あるソフトウェアの脆弱性情報を抽出するのは、
人手でやるには膨大な労力がかかります。

FutureVulsは、自社システムに関係ある脆弱性のみ抜け漏れなく検知し、可視化から対応までをサポートします。 

https://vuls.biz/

インストール済みパッケージの脆弱性を診断し､パッチ適用を支援してくれるSaaSです｡検知した脆弱性は具体的なCVE番号をあわせて表示してくれます｡

また､運用の現場では脆弱性をタスクとして登録することができ､発見→調査→更新というフローで運用が行えます｡詳細は上記の公式サイトをご確認ください｡

やってみた

インストール

ログイン画面を開き､メールアドレスとパスワードでログインします｡

操作したい､グループを選択します｡今回は自分用のグループがあるのでそれを選択しました｡ グループはログイン後も簡単に切り替えることができます｡

ダッシュボード画面です｡まだ､サーバが登録されていないので何も表示されていません｡ 右上の歯車アイコンから設定画面を開きます｡

グループ設定をクリックしてください｡

エージェント(スキャナ)をインストールする方法を確認しましょう｡

左側のメニューでスキャナをクリックすると､インストール・アンインストール方法が表示されます｡FutureVulsはインストール時に固有番号を指定します｡

これはグループ毎にことなるので､使用する際は左上で意図したグループの情報が表示されているか確認しましょう｡誤ったグループが選択されている場合はグループ名をクリックすることで変更ができます｡

インストール方法はBashコマンドなのでAWSの場合はUserDataに仕込むことで起動時にインストールされます｡ 今回は3台のAmazon Linux 1にインストールしてみました｡

ダッシュボード確認

インストールが完了するとダッシュボードにサーバが表示されます｡

ロール作成

サーバを分類する為にロールを作成します｡ 上部メニューのリストからロールをクリックします｡

何もロールが存在しない状態です｡+をクリックすると新規作成ができます｡

WebServerというロールを作成します｡

同様の手順で､AppServerとBatServerロールを作成しました｡

ロール・タグの割り当て

作成したロールをサーバに割り当てます｡ 上部メニューのリストからサーバをクリックします｡

サーバ一覧が表示されます｡デフォルトのサーバ名はホスト名に設定されるようですね｡ 任意のサーバ名をクリックします｡

サーバのメニューが開きます｡ロール名の横にあるペンアイコンをクリックします｡

ロールの変更画面が開きます｡WebServerを割り当てましょう｡

タグを付けます｡+タグを追加をクリックします｡

任意のタグ名を入力します｡今回はLinuxとしました｡

残りの2つのサーバにもロール・タグを割り当てます｡

タスクの登録

以降はOSの状態によっては検知できる脆弱性が存在せず､試すことができない可能性があります｡すぐに動作を確認したい場合は古いAMIを利用するなど工夫してください｡

上部メニューのチェンジをクリックします｡

左側に表示されるリストから任意の物をクリックする｡ 右側に表示されるTASKSから任意の物をクリックする｡

右上のペンアイコンをクリックします｡

タスクのパラメータを設定します｡主担当者は必須です､必ず選択してください｡今回は自分に設定しました｡

パッチ適用

上部メニューのマイタスクをクリックします｡ 自分のタスク一覧が表示されるので､対応したいタスクのチェックボタンにチェックを入れ､下部に表示されたサーバ名をクリックします｡

表示されたコマンドに従ってパッチ内容の調査を行いパッチを適用します｡コマンドはroot権限で実行することが前提です､sudoで実行するかroot権限を持つユーザーにスイッチユーザして実行しましょう｡

パッチ適用後

適用後ダッシュボードで検出された脆弱性が3→2に変化していることが確認できました｡ また､マイタスク一覧からも消滅していました｡(タスクステータスが更新済みに変化していました｡)

感想

とにかく動作が軽いです｡画面の切替にストレスを感じることがありませんでした｡ ダッシュボードがシンプルでわかりやすく､現在抱えている脆弱性の数を把握しやすいです｡また､タスクの機能を使うことで複数人で同じ脆弱性を調べてしまっていたなどのロスを減らして効率的にパッチ作業を行えそうです｡ 以上です｡お読み頂きありがとうございました｡