Amazon InspectorでWindowsのCVE評価をしてみた

2016.09.06

はじめに

Amazon Inspectorを使ってWindowsインスタンスのCVEの評価をしてみました。
Windowsアップデートを行い、指摘項目が無くなることを確認します。

CVEとは

CVEについて、IPA-共通脆弱性識別子CVE概説から引用します。

共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。

 個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。

Inspectorでは、ルール パッケージとしてCVEを利用することが出来ます。

Windowsインスタンスのローンチ

Inspectorには、エージェントが必要です。
2016/9/6現在、Windowsの場合以下がサポートされます。

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

検証用に古めのAMIでローンチしました。7月26日以降のCVEに該当する事を期待します。

検証に利用したAMI
Windows_Server-2012-R2_RTM-Japanese-64Bit-Base-2016.07.26
(ami-190df778)

IAMロールを作成する

Inspectorが評価を行うECインスタンスにアクセスするには、IAMロールが必要です。
AWSマネージメントコンソールから、Inspectorを開きます。
[Amazon Inspector の使用開始] ページで、[ロールの作成または選択] を選択します。

1

IAMコンソールが起動するので、[許可]を選択します。

2

EC2インスタンスにタグ付け

AWSマネージメントコンソールから、EC2を開きます。
評価を行うEC2に任意のタグ付けを行います。今回はKey:Inspector,Value:True としました。

エージェントのインストール

診断対象のインスタンスにエージェントをインストールします。 インストーラーをhttps://d1wk0tztpsntt1.cloudfront.net/windows/installer/latest/AWSAgentInstall.exe からダウンロードします。

AWSAgentInstall.exeを保存した場所に移動し、AWSAgentInstall.exeを実行します。
ライセンスに同意し、インストールします。

3

C:/Program Files/Amazon Web Services/Aws Agentに移動し、AWSAgentStatus.exeを実行します。
エージェントのステータスを確認する事が出来ます。

4

評価ターゲットの定義

適当な名前を入力し、評価ターゲットにするタグを選択します。
前述の手順では、EC2インスタンスに Key:Inspector,Value:True を付与しました。
ここでは キー:Inspector,値:Trueを入力します。

5

評価テンプレートの定義

ルールパッケージCommon Vulnerabilities and Exposures-1.1を選択します。
所要時間は推奨の1時間としました。

6

確認

設定を確認し、[作成]を選択します。

7

評価の実行の開始

評価テンプレートを選択し、[実行]を選択します。

8

すぐに、ステータスが[データを収集中]に変更されます。

9

収集には時間がかかります。
完了すると、ステータスが[分析完了]になります。
結果列の[21]を選択します。

10

セキュリティ上の問題が21個見つかりました。
問題はAWSマネージメントコンソールから確認できる他、CSV形式でダウンロードすることも出来ます。

11

見つかったCVE識別番号を記載します。

CVE識別番号(CVE-ID)
CVE-2016-3308
CVE-2016-3304
CVE-2016-3327
CVE-2016-3311
CVE-2016-3301
CVE-2016-3293
CVE-2016-3326
CVE-2016-3300
CVE-2016-3322
CVE-2016-3321
CVE-2016-3289
CVE-2016-3319
CVE-2016-3329
CVE-2016-3290
CVE-2015-2808
CVE-2016-3320
CVE-2016-3309
CVE-2016-3303
CVE-2016-3237
CVE-2016-3288
CVE-2016-3310

Windowsアップデートの適用

指摘のあった21個について、Windowsアップデートで解消されるのでしょうか。
Windowsインスタンスにリモートデスクし、Windowsアップデートを実行します。
15個の重要な更新プログラムが見つかりました。インストールしてみます。 13

OSの再起動を行い、もう一度Windowsアップデートを行います。
重要な更新プログラムは見つかりませんでした。重要な更新プログラムは全て適用された状態です。

14

評価の実行の開始(2回目)

評価を再実行してみます。 左メニューから[評価テンプレート]を選択し、該当のテンプレートを選択の上、実行します。

19

ステータスが[分析完了]になるまで待ちます。
結果が"1"と表示されました。"1"を選択します。

21

結果に"No potential security issues found"と表示されました。
セキュリティ上の問題は見つからなかったことを示します。

22

おわりに

CVEは脆弱性を対象にした識別子です。
Amazon Inspectorでは、ルール パッケージとしてCVEを利用することが出来ます。

Inspectorを使って、CVEの評価をしてみました。
検証に利用した古いAMIでは、21個の問題が発見されました。
Windowsアップデートを行うことで問題は解消される事を確認しました。

参考