脆弱性スキャナー[Vuls]
今月の気になるオープンソース情報(2017年4月号)
OSS研究室 大野 公善
今回は Vuls というオープンソースソフトウェアを紹介します。
Vulsは、VULnerability Scanner の略で、脆弱性スキャナーです。脆弱性情報を自動的に収集し、収集した情報を元にサーバの脆弱性を検知することができます。
ソフトウェアの脆弱性は日々発表されています。インターネットでサービスを提供しているサーバを安全に運用するために、システム管理者の方は常に脆弱性情報に聞き耳を立て、必要なら対策を実施しなければいけません。
- 運用管理しているサーバにインストールされているソフトウェア情報を把握
- 脆弱性データベース等から情報を入手
- 運用管理しているサーバへの脆弱性の影響度を調査
- アップデート等の対策を検討・実施
こんな作業を繰り返しているのではないでしょうか?
Vulsを使用すれば、上記の1~3の作業を自動的に行うことができるようになります。
Vulsは次のように動作します
- NVD(National Vulnerability Database),JVN(Japan Vulnerability Notes)から脆弱性情報を取得
- スキャン対象サーバにSSH接続
- 入手した脆弱性情報を元にサーバに潜む脆弱性を検知
- 診断結果をレポーティング(電子メール, Slack, ウェブインタフェース等)
これらを自動的に行うことで、システム管理者には以下のメリットがあります。
(1) 必要な情報だけ入手
運用しているサーバに関連する脆弱性情報だけを入手できます。大量に報告される脆弱性情報から必要な情報を選択する手間を省くことができます。
(2) 確実に情報取得
NVD,JVNからリリースされるすべての脆弱性を元に脆弱性スキャンを行っています。脆弱性情報を見落とすことがなく、確実に必要な情報を取得できます。
(3) タイムリーに対応可能
Vulsから影響がある脆弱性だけがレポートされます。システム管理者は、対策の可否を判定するだけですので、タイムリーな対応ができるようになります。
脆弱性診断の結果を参照する時、指定した脆弱性のレポートを除外して出力する機能があります。脆弱性が発見された時、対象ソフトウェアを使用していなかったり、影響度が少なかったりする場合には、対策を見送ることをがあります。対策を見送った脆弱性の情報をVulsの除外設定に追加してしまえば、後の脆弱性診断ではレポートがされなくなりますので、システム管理者がいちいち対策の有無を判定する必要がなくなります。これは必須の機能ですね。
Vulsを使用することで、脆弱性発見の作業を自動化し、システム管理者が行うセキュリティ対策を効率化することができます。デージーネットでは、Vulsを使用した脆弱性スキャンシステムの構築や、Vulsを使用した脆弱性スキャンサービス等を提案しています。インターネットサービスを安心して提供するためにVulsの採用を検討してみてはいかがでしょうか?