#SIDfm

脆弱性の管理と対策に纏わる話

  • 脆弱性情報 /
  • 脆弱性の管理の方法、プロセスの自動化 /
  • パッチ対応の自動化、SOAR

簡単にできる!
SIDfm™ VM を利用した脆弱性対策とその運用

2020.3.25

はじめに

  • 脆弱性管理を行いたいが、どのように始めればよいのかわからない。
  • 導入までの敷居が高そう。

そのような疑問をお持ちではありませんか? SIDfm™ VM を利用すれば、簡単に脆弱性管理が始められます。 このエントリでは、SIDfm™ VM の導入と SIDfm™ VM を利用した脆弱性管理とその運用手順を簡単にご説明します。

  1. 想定する環境
  2. VM サーバのインストール
  3. VM サーバへ監視対象ホストを登録する (VM エージェントによる登録)
  4. 脆弱性管理の開始

想定する環境

想定する環境を下図に示します。ここでは、オンプレミス環境に VM サーバを設置することとします。同様に、クラウド上にも設置可能です。

CentOS 7 を minimal インストールした VM サーバ vmsv.example.com と CentOS 7 を minimal インストールした監視対象ホスト host1.example.com が構築されており、 両者は Proxy サーバ proxy.example.com を経由してインターネットに接続されているとします。

想定する環境

VM サーバのインストール

以下の手順にて SIDfm™ VM ソフトウェア(以下「VM サーバ」という)のインストールを行います。VM サーバは Docker イメージで提供されますので簡単に実装できます。なお、VM サーバは Docker コンテナとして実行されます。システムに Docker を実装する必要があります。

VM サーバのインストール設定

  1. VM サーバ vmsv.example.com にログインします。
  2. root ユーザに昇格します。
    $ su -
  3. インストールスクリプト向け設定ファイルをダウンロードします。
  4. ダウンロードした variable ファイルを変更し、環境に合わせた設定を行います。
    # vi variables

VM サーバのインストール

  1. Docker をインストールします。
  2. PostgreSQL データベースをインストールし設定します。
  3. VM サーバをダウンロードしインストールします。

ライセンスキーの登録とホスト登録用APIキーの発行

  1. SIDfm™ VM のログインページにアクセスします。
    1. http://vmsv.example.com/redmine/ にアクセス
    2. ログイン ID とパスワードに「sidfmadm」を入力し、「ログイン」ボタンをクリック
  2. 次に、ログイン直後のページであるライセンス管理画面で、ライセンスIDとライセンスパスワードを入力してライセンスキーの登録を行います。 ライセンスキーの登録方法の詳細につきましては SIDfm™ VM 導入ガイドの「ライセンスキーを登録する」をご参照ください。
  3. ライセンス管理画面にある、ホスト登録用APIキーの項目のアクション「APIキー登録」をクリックします。
    Information

    この「ホスト登録用APIキー」は、ホストをVMサーバに登録する際に使用します。

これで VM サーバのインストールは完了です。

VM サーバへ監視対象ホストを登録する (VM エージェントによる登録)

監視対象ホストにおける VM エージェントのインストール設定

  1. 監視対象ホスト host1.example.com にログインします。
  2. root ユーザに昇格します。
    $ su -
  3. インストールスクリプト向け設定ファイルをダウンロードします。
  4. ダウンロードした variable ファイルを変更し、環境に合わせた設定を行います。
    # vi variables

監視対象ホストにおける VM エージェントのインストール・VM ホストへの登録

  1. VM エージェントをインストールします。

監視対象ホストの登録確認

  1. http://vmsv.example.com/redmine/ にアクセスします。
  2. ログイン ID とパスワードに「sidfmadm」を入力し、「ログイン」をクリックします。
  3. 設定メニューの「ホスト設定」をクリックします。
  4. 登録ホスト一覧の中にインストールしたホストが登録されているか確認します。
    登録ホスト一覧

同期の確認

登録ホストが「」になっているか確認します。同期ボタンにカーソルを合わせるとVM エージェントからのデータ受信日時、脆弱性照合日時を確認することができます。

非同期 同期

脆弱性管理の開始

まず脆弱性管理の一連の流れを確認します。 下図は、独立行政法人情報処理推進機構(IPA)セキュリティセンターによって発行された「脆弱性対策の効果的な進め方(ツール活用編)」に記載されている脆弱性対策のフローです。

このエントリでは、下図に示されたフローに沿う形で SIDfm™ VM を利用し、脆弱性の管理を行う方法をご紹介することにします。

脆弱性対策フロー
出典:独立行政法人情報処理推進機構(IPA) セキュリティセンター, 脆弱性対策の効果的な進め方(ツール活用編), p.7

対象ソフトウェアの把握・脆弱性関連情報の収集

対象ソフトウェアの把握では、脆弱性管理のために監視対象ホストにインストールされているソフトウェアの名称やバージョンの確認を行います。 SIDfm™ VM エージェントは、インストールされている rpm パッケージを洗い出します。

脆弱性関連情報の収集も SIDfm™ の脆弱性データベースを利用するため、お客様が煩わされることはありません。

それでは先程 VM エージェントをインストールした監視対象ホストの状況を見てみましょう。

  1. http://vmsv.example.com/redmine/sidfm/licenses/ にアクセスします。
  2. 登録ホスト一覧画面に表示されたホスト名「host1.example.com」のリンクをクリックします。
    ホストリスト
  3. ホスト詳細画面が表示されました。この画面では監視対象ホスト host1.example.com にインストールされたソフトウェアと、そのソフトウェアに存在する脆弱性などを確認することができます。
    ホスト詳細1

適用の判断

次に、脆弱性への対応の可否を判断します。 判断のためには脆弱性の内容や危険度、緊急度が必要です。 SIDfm™ VM ではこれらの情報にも簡単にアクセスすることができます。

脆弱性情報の詳細まで確認することは面倒で時間のかかる作業です。通常は組織のポリシーなどに従い CVSS や SRI といった危険度指標を元にして優先度の高いものから確認していくことになります。

ここでは例として vim パッケージに存在した『危険度:高』の脆弱性へ対処する流れを説明します。

  1. 脆弱性列の「CentOS 7 の vim に任意の OS コマンドを実行...」リンクをクリックしてください。
    ホスト詳細2
  2. 移動した先の画面にある「詳細脆弱性コンテンツへ」ボタンをクリックします。
    脆弱性詳細
  3. 脆弱性情報の詳細画面では、脆弱性の CVE 番号、CVSS スコア、危険度、および概要などを確認することができます。 これらの情報をもとに、脆弱性への対処が必要かどうか、必要であればどの程度の緊急度か、などを判断します。

    この host1.example.com の環境では、vim を使用して作業することが多いため、脆弱性の影響を受ける可能性があると判断しました。 またこの脆弱性は危険度は「高」とされていますが、host1.example.com の環境では基本的に外部から取得した信頼できないファイルを使用しないため、早急な対応は不要と判断しました。

    脆弱性詳細

計画

脆弱性への対応が決まれば、次は計画(スケジューリング)です。

計画フェーズでは、いつ脆弱性に対応するかを決定します。その際に考慮する事柄は次のようなものが挙げられます。

  • 脆弱性の危険度
  • 緊急度 (既に攻撃が確認されているかどうか等)
  • テスト環境での検証に要する期間

それでは SIDfm™ VM で脆弱性に対応予定日を設定してみましょう。

  1. アクション列の「対応予定日変更」ボタンをクリックしてください。
    対応予定日変更1
  2. 適当な対応予定日を設定し、「更新」ボタンをクリックしてください。

    対応予定日変更2
  3. 対応予定日が設定されました。

    対応予定日変更3

検証

運用環境でのソフトウェアのアップデート前に、テスト環境でソフトウェアを更新し、動作確認や適用可否を行うフェーズです。 SIDfm™ VM の機能では「対応予定日変更」や「ステータス変更」のコメント欄を利用できますが、このエントリでは割愛します。

適用

脆弱性対応のフェーズです。 主にソフトウェアの更新による脆弱性への対処となりますが、 ソフトウェアの更新が不可能な場合や更新が可能な時期になるまでの回避策の実施等もこのフェーズに含まれます。

SIDfm™ VM は、パッチ情報(対処の方法)がすぐに得られます。ホストの脆弱性と対応のサマリー表の「i」列にあるプルダウンメニューを選択し、「影響しているパッケージ一覧」をクリックすることで、修正対象となるパッケージの一覧が得られます。

影響しているパッケージ、プロダクト
影響しているパッケージ一覧

同様に、脆弱性詳細画面の「対処方法」タブをクリックすることでも、対処方法を参照できます。

対処方法

それでは先程の vim の脆弱性への対処 (パッケージの更新) を実施してみましょう。

  1. 監視対象ホスト host1.example.com へログインし、root ユーザへ昇格します。

    $ su -
  2. 脆弱性を含むパッケージ (ここでは vim-minimal) を最新版に更新します。

    # yum -y update vim-minimal
  3. 次回の VM エージェントの実行タイミングで更新したパッケージの情報が VM サーバへ送信されます。

  4. パッケージの更新情報によって、VM サーバで監視対象ホスト host1.example.com の脆弱性の対策状況が自動的に更新されます。

    脆弱性詳細

SIDfm

SIDfm™ VM を利用した脆弱性対策を行うための運用方法をご紹介しました。脆弱性情報を起点として、情報資産(ホスト)内のソフトウェア脆弱性の特定を行う機能を備えます。脆弱性の検出から対処まで記録は自動的に行い、脆弱性別やホスト別に脆弱性への対処状況・危険性を包括的に視認でき、運用管理機能も備えています。詳細は、SIDfm™ VM のホームページを御覧ください。

SIDfm VM での脆弱性管理の具体的なプロセス
最新の記事

脆弱性と対策のことなら

SIDfm™

  • お問い合わせ

    SIDfm™ 各種サービスの使用法や購入において気になる点などお気軽にお問い合わせ下さい。

    お問い合わせ
  • 無料でトライアル

    SIDfm™ の VM、RA、Biz を実際に無料で使ってみてください。

    無料で試してみる