Mackerel Meetup #10 Tokyo(https://mackerelio.connpass.com/event/54302/)で発表した資料です。

1. Copyright ©2017 by Future Architect, Inc. Japan
脆弱性スキャナVulsの紹介と
Mackerelメタデータと連携した脆弱性管理
Mackerel Meetup #10 Tokyo
2017.4.27
Future Architect, Inc.
Takayuki Ushida

2. 自己紹介
Copyright ©2017 by Future Architect, Inc. Japan - 2 -
牛田 隆之 （Ushida Takayuki）
• @usiusi360
• Future Architect, Inc.
• Tecnology Innovation Group
• 主にVulsのWebビューア（VulsRepo）を担当

3. １．脅威に対する対策方法
脅威に対しては、「組織的対策」、「人的対策」、「物理的対策」、「技術的対策」の4つの観点から対
策の実施が必要です。
Copyright ©2017 by Future Architect, Inc. Japan - 3 -
DB
紙
データ
機密情報、システム
① 組織的対策
社内規程
XX規程
②
人
的
対
策
③ 物理的対策
④
技
術
的
対
策
• 従業者の責任と権限の明確化
• 規程・手順書の整備、運用、
実施状況の確認 等
• 従業者との非開示契約の締結
• 教育、訓練 等
• 入退室管理
• 機密情報の盗難防止措置 等
• 機密情報、情報システムへの
アクセス制御
• 不正ソフトウェア対策
• 情報システムの監視 等
セキュリティコンサルティング、
教育・訓練サービス
セキュリティ対策製品導入、
サービスの利用

4. Copyright ©2017 by Future Architect, Inc. Japan - 4 -
２．技術対策の方法と効果
技術対策としては、「監視、証跡」、「緩和対策」、「根本対策」の3つが考えられますが、最も効果が
高い対策は根本対策になります。
悪意のある
ハッカー
データ
機密情報、システム
根本対策を実施するのが
最も効果が高い
監視、証跡
ネットワークやアプリケーションの
監視を行い、異常な振る舞い
を検知することで、対策を打つ
ことが可能です。また、証跡を
集めることで、インシデント発生
後の調査を可能にします。
緩和対策
根本対策が取れない場合に代
替手段による対策を実施しま
す。また、マルウェアやウィルス感
染、不正アクセスが発生を検
知し遮断することで被害を最
小限に留めます。
根本対策
アプリケーションやOSなどに含ま
れる脆弱性などのセキュリティ
ホールを塞ぐことで、予期せぬ
外部からの侵入や不正アクセス
を防ぎます。
例）パケット監視、サーバー監視、
ログ収集、SIEM、など
例）IPS/IDS、ウィルス対策
ソフト、WAF、など
例）脆弱性に対するパッチ適用、
セキュアコーディング、など
完全には防げない

5. ３．脆弱性への対応の現状
Copyright ©2017 by Future Architect, Inc. Japan - 5 -
日々マルウェアやウィルスが数十万の単位で生まれ、多層防御を施さないと防げないほど攻撃手段が多
様化しリスクが高まる一方、ソフトウェアのアップデート状況を把握できていない企業が大多数です。ま
た、ソフトウェアのアップデート状況を把握しようとしても、ソフトウェアのバージョンや影響範囲の確認などの
必要な運用負荷が高くなりすぎて、継続的実施するのが困難となり、事実上ソフトウェアのアップデート
が行われていないのが現状です。
新種マルウェアの数
数十万種/日
マルウェア
作成ツール
悪意を持った
製作者 システム運用者、
セキュリティ責任者
 システムで利用している技術要素
の把握・アップデート
 脆弱性情報のチェック
 アンチウィルスのシグニチャ更新
・・・
課題
脆弱性情報チェックは運用負荷高
ほとんど自分に関係ない情報なのでツライ
情報を見逃したら脆弱性が放置されたまま残ってしまう
利用中のJavaライブラリの脆弱性まで追い切れない
シグニチャベースのアンチウィルスだけでは不十分
企業
リスクの現状 企業での対策状況
多層防御を
施さないと防げない
JNSA 2013年度 情報セキュリティ対策マップより

6. ４．セキュリティインシデントによる被害
情報漏洩による被害金額の平均は1件あたり約1億円で、漏えい件数によっては、被害総額は数百億
円におよぶ場合もあります。情報漏えいの影響は金額面にとどまらず、その企業・団体の信頼性を損な
い、信頼回復には長い時間が必要です。
情報漏洩のあった企業・団体もセキュリティ対策をしていなかったわけではなく、対策をしていても漏えい
が起こっており、また漏えい自体に長期間気づかないケースが多いのも近年の特徴の1つです。
被害事例
（国内）
セキュリティ
被害統計
（国内）
漏えい人数 925万2305人
インシデント件数 1388件
想定損害賠償総額 1438億7184万円
一件あたりの漏えい人数 7031人
一件あたり平均想定損害賠償額 1億926万円
一人あたり平均想定損害賠償額 2万7701円
※2013年、
JASA公表データより
- 6 -
発生時期 組織名 概要 影響
2017年3月 GMO
 セキュリティコードを含むカード情報約72万件が漏えい
 Apache Struts2の脆弱性を突いた攻撃
株価の下落
2015年5月 年金機構
 125万件の国民情報漏えい
 標的型メールによるウィルス「Emdivi」感染
対応経費10億以上
2014年7月 ベネッセ  推定4,000万件の顧客情報漏えい
お詫びの品 総額200億円。
株価20％以上下落 (約
3,750→約2,950)
2014年3月 東芝
 業務提携先であるサンディスク社の元社員が、東芝の
機密情報を不正に持ち出し、転職先の韓国の半導
体メーカーSKハイニックス社に提供
被害総額1,000億円
Copyright ©2017 by Future Architect, Inc. Japan

7. 【参考】 脆弱性の早期対応の重要性
Copyright ©2017 by Future Architect, Inc. Japan - 7 -
2013年3月16日
不正アクセスを受け、最大2059件のクレジット
カード情報が漏洩する事案が発生
(当時の不正侵入もStruts2の脆弱性を悪用するもの)
Struts2の脆弱性対応を含めて、厳格なセキュリ
ティ対策を実施
（IPS、IDS、改ざん検知、FW、WAFの導入）
2017年3月22日
Struts2の脆弱性により不正アクセス発生
2013年の事案を元に十分な対策を行っていたが、
脆弱性の公表直後はIPS、IDS、WAFであっても
防ぐことが出来ない場合がある。
セキュリティ対策製品で固めても不十分なこともある。
根本的なセキュリティ対策には迅速なアップデートが必要。
JINSにおける脆弱性対策と不正アクセスの例
経緯

8. ５．脆弱性スキャナーVulsの概要
Copyright ©2017 by Future Architect, Inc. Japan - 8 -
脆弱性スキャナーの仕組みは、管理下のシステムに入っているOSパッケージやライブラリなどのソフトウェ
ア情報を収集し、公開されている脆弱性データベースの情報と関連付け、管理者に関係のある脆弱性
情報のみをメールやSlack等で通知します。
管理下のシステム
ソフトウェア情報 脆弱性情報
日本の脆弱性
データベース
(JVN)
米国の脆弱性
データベース
(NVD)
関連付け
e-mail、slack等で
脆弱性情報を通知
 Redhat
 Ubuntu
 FreeBSD
・・・

9. 【参考】 画面イメージ
Copyright ©2017 by Future Architect, Inc. Japan - 9 -
Slack連携
WebUI（VulsRepo）
ターミナルUI

10. ６．世界中で話題のツール①
2016年4月にVulsをGitHubに公開し、10月1日にはランキングで約3,000万プロジェクト中、1位
を獲得するほど世界中で話題となりました。
Copyright ©2017 by Future Architect, Inc. Japan10 -
名だたる企業をおさえ世界１位（約3,000万中）に！
世界 6位
世界 7位
世界12位
世界15位
・・・・・・・・・
GitHub Stars
Clair
serverspec
puppet
chef
fluentd
Vuls

11. ６．世界中で話題のツール②
世界中の母国語記事にて紹介されたり、国内メディアや講演依頼も多数あり、大きな盛り上がりを見せ
ています。
Copyright ©2017 by Future Architect, Inc. Japan - 11 -
ドイツ語、フランス語、中国語、
スロバキア語で紹介される
メディアや講演の
引き合いも多数

12. ６．Vulsの主な特徴
主な特徴としては、検知精度の高さ、日本語に対応した豊富なレポート手段などが上げられます。
高い検知精度（他のサービスと比較しても高い）
管理システムの脆弱性情報の収集、検知自動化（運用の手間なし）
広い検知対象（OSパッケージ以外のソフトウェアの脆弱性も検知可能）
ローカルスキャン、エージェントレスの両方に対応
セットアップ、初期設定が簡単（バイナリコピーのみ、サーバ手動登録不要）
オンプレ、クラウドの両方に対応
豊富なレポート手段、日本語対応（slack, email, TUI …）
Linuxの主要ディストリビューションに対応
(AmazonLinux, CentOS, Ubuntu、RHEL、FreeBSD、・・・）
Vulsの特徴
Copyright ©2017 by Future Architect, Inc. Japan - 12 -

13. ７．Vulsの優位性
Vulsは「検知精度」、「検知範囲」、「検知スピード」の3点で他製品やサービスに比べて優
位性があります。
Copyright ©2017 by Future Architect, Inc. Japan - 13 -
① 高い検知精度
② 検知範囲の広さ
③ 圧倒的検知スピード

14. ７．Vulsの優位性：①高い検知精度
Vulsは、他の製品やサービスの比べ高い検知を誇ります。
Copyright ©2017 by Future Architect, Inc. Japan - 14 -
高い検知精度
120
140
160
180
200
Amazon
Inspector
OpenVAS Vuls
検知数
166件
153件
180件
※下グラフはAmazonLinuxの場合

15. ７．Vulsの優位性：②検知範囲の広さ
VulsはLinuxだけでなく、FreeBSD、Dockerコンテナ、NW機器に対応しており、検知範囲の広さの
点でも他の製品やサービスより優れています。
OS
ミドル
アプリ RHEL
CentOS
Ubuntu
Amazon
Linux
FreeBSD
Docker
Raspbian
Debian
Copyright ©2017 by Future Architect, Inc. Japan - 15 -
検知範囲の広さ
NW
機
器
Amazon
Inspector
※対象はAWSのみ
OpenVAS
Vuls

16. ７．Vulsの優位性：③圧倒的な検知スピード
Vulsは他の製品やサービスに比べ、圧倒的な検知スピードとなっています。
0
500
1000
Amazon
Inspector
OpenVAS Vuls
検知時間(秒)
900秒
480秒
8秒
圧倒的な検知スピード
Copyright ©2017 by Future Architect, Inc. Japan - 16 -

17. ８．Vuls導入の効果
Vulsを導入することで、主に以下の4つの効果が見込まれます。
② 作業効率化、定型化
③ 検知精度向上、属人化廃止
Copyright ©2017 by Future Architect, Inc. Japan - 17 -
① サイバーリスクの低減

18. ８．Vuls導入の効果：①サイバーリスクの低減
攻撃の種類で最も多いのが「脆弱性をついた攻撃」で約半数であり、専門家が行っているセキュリティ対
策の1位も「ソフトウェア・アップデート」となっており、ソフトウェア・アップデートを行い、脆弱性への対策を
実施することが、サイバーリスクの大きな低減に繋がります。
Copyright ©2017 by Future Architect, Inc. Japan - 18 -
セキュリティ専門家曰く
一番重要なセキュリティ対策は
ソフトウェアアップデート※2016年上半期、トレンドマイクロ調査参照。
https://www.trendmicro.co.jp/cloud-content/jp/pdfs/security-
intelligence/threat-report/pdf-sr2016h1-20160823_01.pdf
脆弱性をついた攻撃が約半数
専門家が行うセキュリティ対策
1位はソフトウェア・アップデート
※Google Japanの公式ブログ参照
http://googlejapan.blogspot.jp/2016/02/blog-post.html
公表・報道された公開サーバへの攻撃による
情報漏えい事例の攻撃手法割合

19. ８．Vuls導入の効果：②作業効率化、定型化
検証や本番適用作業が必要な脆弱性の件数に比べて、公開されている脆弱性情報に対する「情報収
集」、「対象マシン抽出、影響調査」の作業の比重が大きくなっております。この作業を効率化すること
で、保守作業時間の削減します。
約6千～7千件／年
参照URL: <https://www.ipa.go.jp/security/vuln/report/vuln2015q1.html>
数十件/年程度＞＞＞
自動化
脆弱性情報
収集
対象抽出、
影響調査
対策検討 パッチ検証
約1,000～1,160時間／年
※1件あたり最低10分かかるとして計算
国内の脆弱性届け出件数
≒
本番適用
Copyright ©2017 by Future Architect, Inc. Japan - 19 -

20. ８．Vuls導入の効果：③検知精度向上、属人化排除
手動での作業をシステム化することで、検知精度の向上し、抜け漏れや放置される脆弱性を防ぐことが
できるとともに、どのサーバにどのパッケージが入っているなどの習熟度によった属人的判断を無くすことが
可能です。
脆弱性情報収集
対象抽出、
影響調査
現状
運用
キーワード
検索による
ダブルチェック
公開内容を
一つずつ
目視確認
脆弱性情報
公開ページに
アクセス
バージョンアップ
による影響調査
バージョンアップ
するサーバと
バージョン検討
台帳もしくはロ
グインして確認
課題
 確認方法や検索、チェック方法が属人的
 目視、キーワード検索による確認のため、チェック
が漏れる可能性
 一度検知が漏れると脆弱性が放置されたままに
なってしまう可能性
 該当パッケージのあるサーバ抽出作業に習熟度に
よる差異が出て、属人的な判断となる可能性
 台帳と実構成に乖離が発生し、抽出漏れが発生
する可能性
 対象マシン台数増加時、一連の作業を台数分
実施する必要があり、作業量も増加
脆弱性スキャナーを使った自動化により解決
Copyright ©2017 by Future Architect, Inc. Japan - 20 -

21. ９．現状のVulsのカバー範囲
一連の脆弱性運用のフローと主な課題は、下記の通りです。
Copyright ©2017 by Future Architect, Inc. Japan - 21 -
脆弱性
情報収集
対象抽出
パッチ検証
本番適用
影響調査、
対策検討
⑦爆発的に増加するデバイスに対し
て求められるスピード感
 IoTなど、デバイスの爆発的な増加
 手動での半年に一度の棚卸し対応
①膨大な情報の手動チェックによる工数増大
 脆弱性約6千～7千件／年、時間にして約1,000～1,160時間／年の作業量
④属人的なサーバ抽出
 脆弱性のあるサーバ抽出作業に習熟度による差異が出る可能性
⑤専門家しか判断できない対応方針
 対応の判断に高いスキルが求められ、専門家を抱える余
裕の無い組織は対応ができない
②チェック方法の属人化、チェック漏れ・放置、情報ソースの信頼性
 確認方法や検索、チェック方法が属人的で目視、キーワード検索による確認のためチェック漏れの可能性
 一度検知漏れした脆弱性が放置
③台帳と実構成の乖離
 台帳と実構成に乖離が発生し、抽出漏れが発生する可能性
⑥サーバ台数ととも
に工数増大
 対象マシン台数増加時、
台数分の作業量増加
(OSS)の
対応範囲
今後の対応範囲

22. １０．Vuls(クラウドサービス)提供イメージ
脆弱性管理サービスをクラウドサービス型で提供する予定です。
Copyright ©2017 by Future Architect, Inc. Japan
A社
ソフトウェア
情報
脆弱性情報 日本の脆弱性
データベース(JVN)
米国の脆弱性
データベース(NVD)
各ソフトウェアHP
・
・
・
連携
B社
C社
集計
分析
脆弱性
情報取得
環境情報取得
MetaDataへストア
plugin
プラグイン形式で簡単導入
スキャンサーバ不要

23. Copyright ©2017 by Future Architect, Inc. Japan - 23 -