スキャン方法の選択肢と特徴

FutureVulsにはスキャン対象ごとに複数のスキャン方法があります。

それぞれの選択肢とその特徴を説明します。

LinuxホストOSをスキャン

スキャン対象がインターネットに接続している場合

スキャン対象サーバからスキャン結果のJSONをFutureVulsにアップロードできる場合は、スキャナでLinuxをスキャンする方法がおすすめです。 OSパッケージのアップデート実施後に最新の構成情報をFutureVulsに自動で同期できます。

  • ローカルスキャン
    • スキャン対象の各サーバにスキャナを設置してスキャンする方法
    • メリット
      • インストールが簡単(コマンド1つ実行すれば完了)
      • 該当するプロセスの情報なども取得できる。
      • アップデートなどにより構成情報が変わった場合も画面上に自動で反映される
      • スキャナプログラムは自動更新
    • 検討ポイント
      • スキャナプログラムをサーバ上に配置できるか
  • SSH経由のリモートスキャン
    • スキャン対象ネットワーク内にスキャナを設置して、スキャナからスキャン対象サーバにSSH経由でスキャンする方法
    • メリット
      • 該当するプロセスの情報なども取得できる。
      • アップデートなどにより構成情報が変わった場合も画面上に自動で反映される
      • スキャナプログラムをサーバ上に配置できない場合でもOK
      • SSHトンネル等を用いることでスキャナからSSHで到達できるサーバはスキャンできる
      • CIDRレンジを指定すれば、あるネットワーク内のサーバを一括でスキャン可能
    • 検討ポイント
      • ローカルスキャンに比べて設定が大変(設定ファイルに定義が必要)
  • Amazon EC2のInspector連携
    • メリット
      • 連携が簡単
    • 検討ポイント
      • サーバ(インスタンス)にスキャナのインストールが不要
      • Amazon Inspectorの有効化が必要

スキャン対象が閉域網の場合

  • ペーストスキャン
    • メリット
      • FutureVulsの画面上でパッケージのリストをコピーペーストで登録してCVEを検知
      • 閉域網(エアギャップ環境)のサーバも検知可能
      • 管理対象サーバにスキャナプログラムが必要ない
    • 検討ポイント
      • アップデートなどにより構成情報が変わった場合に画面上からパッケージのリストを更新する必要あり
      • スキャナよりも取得できる情報は少ない
        • プロセスの情報(ポートリスン情報)などは取得できない
  • SBOMインポート
  • NFS等でスキャン結果のJSONを一台に集約して代理でFutureVulsにアップロードする方法
    • 参考: 【FutureVuls応用編】NFSを活用したリモートスキャン
    • メリット
      • ある1台がFutureVulsにUploadできれば閉域網(エアギャップ環境)のサーバ群を管理可能
      • スキャナプログラムで構成情報を自動で同期できるため、ペーストスキャンのように構成情報変更時に再度ペーストする必要がない
    • 検討ポイント
      • NFS等集約するサーバのセットアップが必要
        • プロセスの情報(ポートリスン情報)などは取得できない

Windowsをスキャン

  • インターネットのWindows Updateに接続できる場合

  • WSUS配下の場合

  • インターネット上またはWSUSのようなWindows Updateサービスに「接続できない」場合

    • スキャナプログラムをWindowsにインストールできる場合
      • cabファイルを用いたローカルスキャン
        • メリット
          • 閉域(エアギャップ環境、オフライン環境)のWindowsも検知可能
          • アップデートなどにより構成情報が変わった場合でもスキャナプログラムで構成情報を自動更新可能(画面上にKBをコピーペーストしなくても良い)
        • 検討ポイント
          • cabファイルのサイズに注意(2024年2月時点で約600-800MB)
    • スキャナプログラムをインストールできない場合
      • ペーストスキャン
        • メリット
          • FutureVulsの画面上でKBのリストをコピーペーストで登録してCVEを検知
          • 閉域(エアギャップ環境、オフライン環境)のWindowsも検知可能
          • 管理対象サーバにスキャナプログラムが必要ない
        • 検討ポイント
          • アップデートなどにより構成情報が変わった場合に画面上からKBのリストを更新する必要あり
      • cabファイルを用いたSSHリモートスキャン
        • メリット
          • スキャン対象サーバのWindowsにスキャナをインストール不要
          • 閉域(エアギャップ環境、オフライン環境)のWindowsも検知可能
          • アップデートなどにより構成情報が変わった場合でもスキャナプログラムで構成情報を自動更新可能(画面上にKBをコピーペーストしなくても良い)
          • 最新のcabファイルをファイルサーバ上に1つ配置すればスキャン可能
        • 検討ポイント
          • cabファイルを格納するファイルサーバを準備する必要がある
          • cabファイルのサイズに注意(2024年2月時点で約600-800MB)
            • ディスク上のCabファイルはスキャン終了後に自動削除される
            • スキャンが実行されるたびにファイルサーバから各Windowsにcabファイルがコピーされる。同時にスキャンするWinodwsの台数が多い場合はネットワーク帯域に注意。
  • Amazon EC2のInspector連携

    • メリット
      • 連携が簡単
    • 検討ポイント
      • サーバ(インスタンス)にスキャナのインストールが不要
      • Amazon Inspectorの有効化が必要
  • サードパーティー製ソフトウェアのCPEリコメンド

    • Windows UpdateでKBとして管理される製品「以外」のサードパーティー製ソフトウェアの資産管理と脆弱性管理の機能
    • メリット
      • Windowsにインストールされているソフトウェアを自動検知して資産としてFutureVulsで管理できる
      • 各ソフトウェアに対して適切なCPEがリコメンドされるため、CPEの割り当てを簡単に行える
        • この機能が無いと人力でNVDを検索してCPEを調べなければならないため非常に手間がかかる
        • 数選択で一括してリコメンドされたCPEを割り当てることも可能
      • CPEを割り当てると脆弱性DBとのマッチ処理できるので脆弱性の検知が出来る

コンテナをスキャン

  • コンテナのイメージをスキャン
    • Trivy連携
    • Amazon ECR外部連携
      • メリット
        • コンテナイメージ内にあるアプリケーションライブラリも検知可能
        • AWSのECRと連携設定するだけで設定が完了する。Trivyのスキャン環境を別途構築する必要がない
    • GCP GCR外部連携
      • メリット
        • 連携が簡単
      • 検討ポイント
        • Trivyのほうが検知精度良い
        • ライブラリの脆弱性検知は他の方法で実現する必要あり
    • 実行中のコンテナをスキャン
      • Vuls(ヘルプ準備中。すぐに必要であれば問い合わせください)

アプリケーションの依存ライブラリをスキャン

JavaやPythonなどのフレームワークや、Webアプリケーションなどが内部で依存するOSSライブラリの脆弱性検知の方法です。 依存ライブラリの脆弱性にはCVEが採番されていない脆弱性がたくさんありますが、それらCVEが採番されていない脆弱性も検知できます。 サポートする言語やLockfileの一覧は、対応環境を参照してください。

NW機器、商用ミドルウェアや自分でコンパイルしたものをスキャン

CPEスキャン機能は、OSやプログラミング言語依存のライブラリ「以外」のソフトウェアの脆弱性をスキャンできます。具体的なスキャン対象例としては以下のようなものがあります。

WordPressのプラグインやテーマをスキャン