サイバーエクスポージャプラットフォームによる継続的脆弱性管理

継続的な脆弱性管理へ取り組む企業が増えている。

背景として、2017年に流行したWannaCryやApache Struts2の脆弱性公開に伴う悪用増加があるようだ。

日本において脆弱性診断は、自社で行うものではなく、外部のセキュリティ診断を利用するもの、というイメージが強い。脆弱性診断を行うには高度な知識と経験が必要でとても内製化出来る代物ではないと考えている企業が多いからである。

しかしながら、継続的な脆弱性診断のニーズの高まりとともに、自社内で脆弱性管理を実現するためのプラットフォームも充実してきている。

本連載では、Tenable社のTenable.ioを利用した脆弱性管理やWebアプリケーション診断がどのようなものかを実際の操作イメージを通してご紹介したい。

Tenable.ioの評価を行うには、まず60日間使用可能な評価ライセンスの申請を行う。必要事項を記載し申請すると、メールが送られてくる。

メールに記載されている手順に従ってパスワードを設定すると、Tenable.ioへのログインが可能だ。

続いて、スキャンの設定を行ってみる。あらかじめ用意されているクラウドスキャナを利用したスキャンの設定はとても簡単で、まずスキャンテンプレートを選ぶ。

今回は最も標準的に利用される"Basic Network Scan"というテンプレートを使用する。設定項目では、任意のスキャン名とスキャンしたいターゲット(IPアドレスもしくはドメイン)を最低限指定するだけである。

定期診断したい場合はスケジュール設定も合わせて実施する。

スキャン実行ボタンをクリックするとスキャンが実行され、十数分程度で結果が表示される。結果は下図の通りで、ApacheやOpenSSH等の脆弱性の存在が大量に確認されていることがわかる。

各脆弱性の項目をクリックすると、脆弱性についての詳細が表示される。脆弱性についての解説や対応方法についての記載がされているのはもちろん、脆弱性発見の根拠についての情報も表示されるため、本当に診断結果が正しいかどうかを確認することも容易に行える。

以上見てきたように非常に簡単に継続的脆弱性診断が行えることがお分かりいただけたと思う。次回はAWS環境のAudit scan(監査スキャン)の動作をみてみることにする。

技術者が語るサイバーエクスポージャーのすすめ

第2回はこちら

連載一覧はこちら

[PR]提供：Tenable Network Security Japan