スキャン方法の選択肢と特徴

FutureVulsにはスキャン対象ごとに複数のスキャン方法があります。

それぞれの選択肢とその特徴を説明します。

LinuxホストOSをスキャン

• スキャン対象が閉域網の場合
  • ペーストスキャン
    • メリット
      • FutureVulsの画面上でパッケージのリストをコピーペーストで登録してCVEを検知
      • 閉域網（エアギャップ環境）のサーバも検知可能
      • 管理対象サーバにスキャナプログラムが必要ない
    • 検討ポイント
      • アップデートなどにより構成情報が変わった場合に画面上からパッケージのリストを更新する必要あり
      • スキャナよりも取得できる情報は少ない
        • プロセスの情報(ポートリスン情報)などは取得できない
• スキャン対象がインターネットに接続している場合
  • スキャン対象サーバからスキャン結果のJSONのをFutureVulsにアップロードできる場合は、パッケージアップデート時に構成情報をFutureVulsに自動で反映可能なスキャナでLinuxをスキャンする方法がおすすめです。ローカルスキャンとリモートスキャンの２つの方法があります。それぞれの特徴を説明します。
  • ローカルスキャン
    • スキャン対象の各サーバにスキャナを設置してスキャンする方法
    • メリット
      • インストールが簡単（コマンド１つ実行すれば完了）
      • 該当するプロセスの情報なども取得できる。
      • アップデートなどにより構成情報が変わった場合も画面上に自動で反映される
      • スキャナプログラムは自動更新
    • 検討ポイント
      • スキャナプログラムをサーバ上に配置できるか
  • SSH経由のリモートスキャン
    • スキャン対象ネットワーク内にスキャナを設置して、スキャナからスキャン対象サーバにSSH経由でスキャンする方法
    • メリット
      • 該当するプロセスの情報なども取得できる。
      • アップデートなどにより構成情報が変わった場合も画面上に自動で反映される
      • スキャナプログラムをサーバ上に配置できない場合でもOK
      • SSHトンネル等を用いることでスキャナからSSHで到達できるサーバはスキャンできる
      • CIDRレンジを指定すれば、あるネットワーク内のサーバを一括でスキャン可能
    • 検討ポイント
      • ローカルスキャンに比べて設定が大変（設定ファイルに定義が必要)

Windowsをスキャン

• インターネットのWindows Updateに接続できる場合
  • Windows Scanner
• WSUS配下の場合
  • wsus配下のwindowsのスキャン
• 閉域環境/スキャナがインストールできない場合
  • ペーストスキャン
    • メリット
      • FutureVulsの画面上でKBのリストをコピーペーストで登録してCVEを検知
      • 閉域（エアギャップ環境、オフライン環境）のWindowsも検知可能
      • 管理対象サーバにスキャナプログラムが必要ない
    • 検討ポイント
      • アップデートなどにより構成情報が変わった場合に画面上からKBのリストを更新する必要あり

コンテナをスキャン

• コンテナのイメージをスキャン
  • trivy連携(オススメ)
    • メリット
      • コンテナイメージ内にあるアプリケーションライブラリも検知可能
      • CI/CDに組み込める
        • GitHub Actions連携
  • Amazon ECR外部連携
    • メリット
      • 連携が簡単
    • 検討ポイント
      • ECR拡張スキャンはパッケージの修正バージョンが画面上に表示されないことに注意
  • GCP GCR外部連携
    • メリット
      • 連携が簡単
    • 検討ポイント
      • trivyのほうが検知精度良い
      • ライブラリの脆弱性検知は他の方法で実現する必要あり
  • 実行中のコンテナをスキャン
    • Vuls(ヘルプ準備中。すぐに必要であれば問い合わせください)

アプリケーションの依存ライブラリをスキャン

JavaやPythonなどのフレームワークや、Webアプリケーションなどが内部で依存するOSSライブラリの脆弱性検知の方法です。 サポートする言語やLockfileの一覧は、対応環境を参照してください。

• ホストOS上のLockfileをスキャンしたい場合
  • 一緒にOS Pkgもスキャンしたい場合
    • VulsでLockfileを指定したスキャン
      • メリット
        • Vulsスキャナのセットアップ済みOSではconfig.tomlを変更すれば良い。
      • 検討ポイント
        • 検知対象のLockfileをconfig.tomlに列挙する必要あり
  • ライブラリのみスキャンしたい場合
    • Trivyでファイルシステム上のパスを指定したスキャン
      • メリット
        • GoのバイナリやJavaのjarファイルなどもスキャン対象
        • 指定したディレクトリ以下を再帰的に自動検知してくれるので設定が樂
        • CI/CDに組み込める
          • GitHub Actions連携
• コンテナイメージ内にインストールされた依存ライブラリをスキャンしたい場合
  • trivy連携
• Lockfileが閉域網にある場合
  • ペーストスキャンで画面上から登録
    • メリット
      • Lockファイルがあればブラウザ上からコピーペーストで登録可能
    • 検討ポイント
      • アップデートなどによりLockfileが変更された場合は、下記のいずれかの方法で更新する必要あり
        • 画面上からペーストして更新する
        • REST APIで更新する方法
• GitHubのLockfileやライブラリをスキャンしたい場合
  • GitHub ActionsでPush時にLockfileを自動更新する方法
    • メリット
      • git push 時に自動更新可能
    • 検討ポイント
      • GoのバイナリやJavaのjarファイルは対象外
  • trivyでLockfileを指定したスキャンを参考に、GitHub Actionsを設定する
    • メリット
      • GoのバイナリやJavaのjarファイルなどもスキャン対象
      • 指定したディレクトリ以下を再帰的に自動検知してくれるので設定が樂。
    • 検討ポイント
      • 連携用モジュール (trivy, trivy-to-vuls, futurevuls)の定期的なバージョンアップが必要
  • GitHub Security Alerts連携の併用をおすすめ
    • メリット
      • 設定が簡単
• GitHub以外のソース管理サービスにある依存ライブラリをスキャンしたい場合
  • GitHub ActionsでPush時にLockfileを自動更新する方法を参考にスクリプトを自作する
    • (作成したスクリプトはぜひ共有してください)
  • trivyでLockfileを指定したスキャンを参考にどこかで定期実行する

有償ミドルウェアや自分でコンパイルしたものをスキャン

• CPEスキャン
  • OSパッケージ管理外の（TomcatやOracleなど）のミドルウェア
  • コンパイルしたソフトウェア
  • 日本製のソフトウェア
  • CISCO IOSなどのネットワーク機器のOSなど

WordPressのプラグインやテーマをスキャン

• wordpress integration