Contenu connexe
Similaire à 脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理 (20)
脆弱性スキャナVulsの紹介とMackerelメタデータと連携した脆弱性管理
- 1. Copyright ©2017 by Future Architect, Inc. Japan
脆弱性スキャナVulsの紹介と
Mackerelメタデータと連携した脆弱性管理
Mackerel Meetup #10 Tokyo
2017.4.27
Future Architect, Inc.
Takayuki Ushida
- 2. 自己紹介
Copyright ©2017 by Future Architect, Inc. Japan - 2 -
牛田 隆之 (Ushida Takayuki)
• @usiusi360
• Future Architect, Inc.
• Tecnology Innovation Group
• 主にVulsのWebビューア(VulsRepo)を担当
- 4. Copyright ©2017 by Future Architect, Inc. Japan - 4 -
2.技術対策の方法と効果
技術対策としては、「監視、証跡」、「緩和対策」、「根本対策」の3つが考えられますが、最も効果が
高い対策は根本対策になります。
悪意のある
ハッカー
データ
機密情報、システム
根本対策を実施するのが
最も効果が高い
監視、証跡
ネットワークやアプリケーションの
監視を行い、異常な振る舞い
を検知することで、対策を打つ
ことが可能です。また、証跡を
集めることで、インシデント発生
後の調査を可能にします。
緩和対策
根本対策が取れない場合に代
替手段による対策を実施しま
す。また、マルウェアやウィルス感
染、不正アクセスが発生を検
知し遮断することで被害を最
小限に留めます。
根本対策
アプリケーションやOSなどに含ま
れる脆弱性などのセキュリティ
ホールを塞ぐことで、予期せぬ
外部からの侵入や不正アクセス
を防ぎます。
例)パケット監視、サーバー監視、
ログ収集、SIEM、など
例)IPS/IDS、ウィルス対策
ソフト、WAF、など
例)脆弱性に対するパッチ適用、
セキュアコーディング、など
完全には防げない
- 5. 3.脆弱性への対応の現状
Copyright ©2017 by Future Architect, Inc. Japan - 5 -
日々マルウェアやウィルスが数十万の単位で生まれ、多層防御を施さないと防げないほど攻撃手段が多
様化しリスクが高まる一方、ソフトウェアのアップデート状況を把握できていない企業が大多数です。ま
た、ソフトウェアのアップデート状況を把握しようとしても、ソフトウェアのバージョンや影響範囲の確認などの
必要な運用負荷が高くなりすぎて、継続的実施するのが困難となり、事実上ソフトウェアのアップデート
が行われていないのが現状です。
新種マルウェアの数
数十万種/日
マルウェア
作成ツール
悪意を持った
製作者 システム運用者、
セキュリティ責任者
システムで利用している技術要素
の把握・アップデート
脆弱性情報のチェック
アンチウィルスのシグニチャ更新
・・・
課題
脆弱性情報チェックは運用負荷高
ほとんど自分に関係ない情報なのでツライ
情報を見逃したら脆弱性が放置されたまま残ってしまう
利用中のJavaライブラリの脆弱性まで追い切れない
シグニチャベースのアンチウィルスだけでは不十分
企業
リスクの現状 企業での対策状況
多層防御を
施さないと防げない
JNSA 2013年度 情報セキュリティ対策マップより
- 7. 【参考】 脆弱性の早期対応の重要性
Copyright ©2017 by Future Architect, Inc. Japan - 7 -
2013年3月16日
不正アクセスを受け、最大2059件のクレジット
カード情報が漏洩する事案が発生
(当時の不正侵入もStruts2の脆弱性を悪用するもの)
Struts2の脆弱性対応を含めて、厳格なセキュリ
ティ対策を実施
(IPS、IDS、改ざん検知、FW、WAFの導入)
2017年3月22日
Struts2の脆弱性により不正アクセス発生
2013年の事案を元に十分な対策を行っていたが、
脆弱性の公表直後はIPS、IDS、WAFであっても
防ぐことが出来ない場合がある。
セキュリティ対策製品で固めても不十分なこともある。
根本的なセキュリティ対策には迅速なアップデートが必要。
JINSにおける脆弱性対策と不正アクセスの例
経緯
- 8. 5.脆弱性スキャナーVulsの概要
Copyright ©2017 by Future Architect, Inc. Japan - 8 -
脆弱性スキャナーの仕組みは、管理下のシステムに入っているOSパッケージやライブラリなどのソフトウェ
ア情報を収集し、公開されている脆弱性データベースの情報と関連付け、管理者に関係のある脆弱性
情報のみをメールやSlack等で通知します。
管理下のシステム
ソフトウェア情報 脆弱性情報
日本の脆弱性
データベース
(JVN)
米国の脆弱性
データベース
(NVD)
関連付け
e-mail、slack等で
脆弱性情報を通知
Redhat
Ubuntu
FreeBSD
・・・
- 21. 9.現状のVulsのカバー範囲
一連の脆弱性運用のフローと主な課題は、下記の通りです。
Copyright ©2017 by Future Architect, Inc. Japan - 21 -
脆弱性
情報収集
対象抽出
パッチ検証
本番適用
影響調査、
対策検討
⑦爆発的に増加するデバイスに対し
て求められるスピード感
IoTなど、デバイスの爆発的な増加
手動での半年に一度の棚卸し対応
①膨大な情報の手動チェックによる工数増大
脆弱性約6千~7千件/年、時間にして約1,000~1,160時間/年の作業量
④属人的なサーバ抽出
脆弱性のあるサーバ抽出作業に習熟度による差異が出る可能性
⑤専門家しか判断できない対応方針
対応の判断に高いスキルが求められ、専門家を抱える余
裕の無い組織は対応ができない
②チェック方法の属人化、チェック漏れ・放置、情報ソースの信頼性
確認方法や検索、チェック方法が属人的で目視、キーワード検索による確認のためチェック漏れの可能性
一度検知漏れした脆弱性が放置
③台帳と実構成の乖離
台帳と実構成に乖離が発生し、抽出漏れが発生する可能性
⑥サーバ台数ととも
に工数増大
対象マシン台数増加時、
台数分の作業量増加
(OSS)の
対応範囲
今後の対応範囲