【運用者向け】FutureVulsではじめる脆弱性管理

2019.11.22

こんにちは、中川です。

みなさんは日々更新される脆弱性の管理をどのようにおこなわれてますでしょうか?

AWSでは、Amazon Inspectorという脆弱診断のサービスが用意されおり、EC2インスタンス上にあるソフトウェアの脆弱性を診断できます。 Inspectorの診断を定期実行されるように自動化することで、継続的な脆弱性情報の収集が可能になります。

では脆弱性を収集した後に、どのような対応が必要でしょうか?
たとえば、以下の対応が必要となってきます。

  • 対応が必要な脆弱性であるかどうかの判断
  • 対応が必要な場合は、いつ・誰が対応するか
  • 脆弱性が修正されたパッチの適用

システムの担当者はAmazon Inspectorのような脆弱性収集ツールで収集を自動化できますが、上記のよう収集後に必要なアクションに対しては工数をかけて対応しなくてはなりません。

▼脆弱性スキャンツールを活用した、脆弱性管理(脆弱性対策の効果的な進め方 ツール活用編から引用)

脆弱性管理に課題を持つ方々向けにオススメしたいのが、FutureVulsです。
FutureVulsとは、OSS脆弱性スキャナのVulsをベースにした脆弱性管理のクラウドサービスです。 脆弱性対応における、検知、収集、適用の判断、タスク管理、パッチ適用といったタスクをFutureVulsでは一元管理できます。

▼脆弱性対応の中でFutureVulsが対応する範囲(FutureVuls公式から引用)

以降ではFutureVulsの特徴を詳しく見ていきます。

収集

FutureVulsでは、収集はエージェントをサーバーにインストールすることで、サーバーの脆弱性情報を自動で収集してくれます。 インストールが完了すると、数分後には初回のスキャンが走り、コンソール画面では脆弱性情報の一覧を取得できます。

FutureVulsの特徴として、共通脆弱性評価システム(CVSS)だけでなく、影響を受けるプロセスの起動有無や、外部ネットワークからの攻撃可能性、攻撃コードの有無まで収集してくれます。 これらは、次のフェーズの適用の判断において、重要な情報です。

スキャナのインストール手順については、以下のブログを参考ください。

脆弱性管理ツールFutureVulsを利用した脆弱性診断手順

適用の判断

脆弱性の情報を収集したら、次は、適用の判断を行っていきます。(トリアージと言われる作業です)
適用の判断では、「許容できる脆弱性は除外する」、「残りの脆弱性は許容できないので優先度付けて対応する」といったポリシーで、脆弱性の対応を決めていきます。ポイントは、許容できる脆弱性を対応済みとして、対応する脆弱性を減らしていくことです。
では、FutureVulsの画面を見ながら、適用の判断を行っていきます。

以下の画面では未対応の脆弱性として59件が表示されています。ここから対応する脆弱性を減らしていきます。

「緩和策/回避策なし」かつ「プロセス停止」かつ「攻撃コードなし」を条件にフィルタリングすると、28件の脆弱性がヒットしました。
これらは回避できる脆弱性と考えて、対応対象から除外します。

チェックボックスを有効にして、[関連するタスクを非表示]を選択します。

[脆弱性情報に対して何らかの変更があるまで]にチェックを入れて[送信]を選択します。こうすることでアップデートパッチ出たり攻撃コードが見つかるまでは、対応済みと処理できます。

残っている脆弱性に対してトリアージします。次は、「プロセス停止」をはずして「CVSSスコア7以下」でフィルタリングすると26件がヒットします。これらは受容できると判断して、対応済みと扱います。

結果、もともと59件あった脆弱性を5件まで減らすことができ、対応が必要な脆弱性がわかりました。

このような流れで簡単にトリアージできることがFutureVulsの強みです。
より詳しくトリアージのやり方を知りたいという方は、以下の公式チュートリアルを参照ください。
参考:対応方針の検討

タスク管理

適用の判断で残った脆弱性に対しては、対応の計画をたてていきます。
FutureVulsでは、「1サーバ × 1脆弱性」を1タスクとして扱い、チケットのように管理できることが特徴です。

担当者にタスクを割り当てていきます。
未対応の脆弱性から選択し、[関連するタスクを更新]を選択します。

選択したタスクの優先度や担当者を変更します。ここではステータスを調査中にしています。

チケットのステータスが変更されたので、未対応から対応中のタブに移動したことがわかります。

タスクタブからタスクの一覧を表示でき、各担当者はここからタスクを対応していきます。

パッチ適用

パッチが提供されている脆弱性に対しては、パッチ適用を行っていきます。
FutureVulsの機能として、AWS Systems Managerと連携して、数クリックでパッチ適用もFutureVulsで実施できます。 AWS Systems Managerとの連携手順やパッチの適用方法については、以下のブログを参考ください。

[遂にきた!]脆弱性管理ツールFutureVulsから直接SSMを利用してパッチ適用ができるようになったのでやってみた

さいごに

脆弱性管理における課題と、FutureVulsでできることを紹介させていただきました。
これからAWSで脆弱性管理をAmazon Inspectorで手軽に診断を行うことから始めるとよろしいかと思います。
継続的に効率よく脆弱性管理を行っていく場合は、FutureVulsを検討いただければと思います。