【運用者向け】FutureVulsではじめる脆弱性管理
こんにちは、中川です。
みなさんは日々更新される脆弱性の管理をどのようにおこなわれてますでしょうか?
AWS では、Amazon Inspectorという脆弱診断のサービスが用意されおり、EC2 インスタンス上にあるソフトウェアの脆弱性を診断できます。
Inspector の診断を定期実行されるように自動化することで、継続的な脆弱性情報の収集が可能になります。
では脆弱性を収集した後に、どのような対応が必要でしょうか?
たとえば、以下の対応が必要となってきます。
- 対応が必要な脆弱性であるかどうかの判断
- 対応が必要な場合は、いつ・誰が対応するか
- 脆弱性が修正されたパッチの適用
システムの担当者は Amazon Inspector のような脆弱性収集ツールで収集を自動化できますが、上記のよう収集後に必要なアクションに対しては工数をかけて対応しなくてはなりません。
▼脆弱性スキャンツールを活用した、脆弱性管理(脆弱性対策の効果的な進め方 ツール活用編から引用)
脆弱性管理に課題を持つ方々向けにオススメしたいのが、FutureVulsです。
FutureVuls とは、OSS 脆弱性スキャナのVulsをベースにした脆弱性管理のクラウドサービスです。
脆弱性対応における、検知、収集、適用の判断、タスク管理、パッチ適用といったタスクを FutureVuls では一元管理できます。
▼脆弱性対応の中で FutureVuls が対応する範囲(FutureVuls公式から引用)
以降では FutureVuls の特徴を詳しく見ていきます。
収集
FutureVuls では、収集はエージェントをサーバーにインストールすることで、サーバーの脆弱性情報を自動で収集してくれます。
インストールが完了すると、数分後には初回のスキャンが走り、コンソール画面では脆弱性情報の一覧を取得できます。
FutureVuls の特徴として、共通脆弱性評価システム(CVSS)だけでなく、影響を受けるプロセスの起動有無や、外部ネットワークからの攻撃可能性、攻撃コードの有無まで収集してくれます。
これらは、次のフェーズの適用の判断において、重要な情報です。
スキャナのインストール手順については、以下のブログを参考ください。
適用の判断
脆弱性の情報を収集したら、次は、適用の判断を行っていきます。(トリアージと言われる作業です)
適用の判断では、「許容できる脆弱性は除外する」、「残りの脆弱性は許容できないので優先度付けて対応する」といったポリシーで、脆弱性の対応を決めていきます。ポイントは、許容できる脆弱性を対応済みとして、対応する脆弱性を減らしていくことです。
では、FutureVuls の画面を見ながら、適用の判断を行っていきます。
以下の画面では未対応の脆弱性として59件が表示されています。ここから対応する脆弱性を減らしていきます。
「緩和策/回避策なし」かつ「プロセス停止」かつ「攻撃コードなし」を条件にフィルタリングすると、28 件の脆弱性がヒットしました。
これらは回避できる脆弱性と考えて、対応対象から除外します。
チェックボックスを有効にして、[関連するタスクを非表示]を選択します。
[脆弱性情報に対して何らかの変更があるまで]にチェックを入れて[送信]を選択します。こうすることでアップデートパッチ出たり攻撃コードが見つかるまでは、対応済みと処理できます。
残っている脆弱性に対してトリアージします。次は、「プロセス停止」をはずして「CVSS スコア 7 以下」でフィルタリングすると 26 件がヒットします。これらは受容できると判断して、対応済みと扱います。
結果、もともと 59 件あった脆弱性を 5 件まで減らすことができ、対応が必要な脆弱性がわかりました。
このような流れで簡単にトリアージできることが FutureVuls の強みです。
より詳しくトリアージのやり方を知りたいという方は、以下の公式チュートリアルを参照ください。
参考:対応方針の検討
タスク管理
適用の判断で残った脆弱性に対しては、対応の計画をたてていきます。
FutureVuls では、「1 サーバ × 1 脆弱性」を 1 タスクとして扱い、チケットのように管理できることが特徴です。
担当者にタスクを割り当てていきます。
未対応の脆弱性から選択し、[関連するタスクを更新]を選択します。
選択したタスクの優先度や担当者を変更します。ここではステータスを調査中にしています。
チケットのステータスが変更されたので、未対応から対応中のタブに移動したことがわかります。
タスクタブからタスクの一覧を表示でき、各担当者はここからタスクを対応していきます。
パッチ適用
パッチが提供されている脆弱性に対しては、パッチ適用を行っていきます。
FutureVuls の機能として、AWS Systems Manager と連携して、数クリックでパッチ適用も FutureVuls で実施できます。
AWS Systems Manager との連携手順やパッチの適用方法については、以下のブログを参考ください。
さいごに
脆弱性管理における課題と、FutureVuls でできることを紹介させていただきました。
これから AWS で脆弱性管理を Amazon Inspector で手軽に診断を行うことから始めるとよろしいかと思います。
継続的に効率よく脆弱性管理を行っていく場合は、FutureVuls を検討いただければと思います。