コンテンツにスキップ

脆弱性への対応#

実際検知された脆弱性へ対応していく流れを見ます。

対応の通知確認#

タスクが担当者に割り振られると、その内容が担当者に通知されます。 現場担当者は受信したメールから対応の必要性を確認し、タスクに記載されているリンクから FutureVuls にログインできます。

task_mail

自身が担当するタスクの確認#

メールのリンクからログインすると、その該当のタスクの詳細が開いた画面に遷移します。 「CVE-ID」や「サーバ名」の項目はクリックでき、それぞれ該当の脆弱性詳細・サーバ詳細の画面が開きます。 タスクを確認したら、ここを起点に脆弱性情報の調査等に進むと良いでしょう。

また、既にこのソフトウェアに関するパッチが公開されている場合、「関連するソフトウェア」の項目下に「アップデートコマンド」のボタンが表示されます。 ここから、ソフトウェアのアップデートに必要な情報を参照できます。

response

タスクへの対応#

以下で、割り当てられたタスクに対応する上で、対応優先度の高いものを抽出します。

タスクのトリアージ#

対応期限によるフィルタ#

まず、ある日にちまでに対応するべきタスクをフィルタします。 「フィルタ」を押し、以下の条件で設定します。

  • 列: 対応予定日
  • 演算子: ...である
  • 値:(日付を選択)

すると、対応予定日が選択した日付までのタスクだけが抽出されます。

SSVC Priority によるフィルタ#

次に、脆弱性への対応優先度を決めるため、SSVC Priority によるフィルタをします。 「SSVC Priority」の列名をクリックすると、その列でソートをかけることができます。 昇順でソートすることで、immediate > out_of_cycle > scheduled > defer の順にタスクを並べ替えられるので、上から順に対応していけば良いです。

脆弱性の調査#

割り振られたタスクに関して、脆弱性の調査など作業中のタスクのステータスを切り替えます。 タスク一覧のチェックボックスで該当のタスクを複数選択し、「関連するタスクを更新」からステータスを INVESTIGATING(調査中ステータス)に切り替えます。

change_status

脆弱性の詳細を調べる場合、タスク詳細 > CVE ID から対象の脆弱性の詳細情報に遷移できます。 FutureVuls を起点として、脆弱性の特性や攻撃情報、緩和策など公開されている情報にアクセスできます。

task_cveid

脆弱性への対応#

脆弱性情報の調査が完了し、実際にパッチ適用などの対応作業をする際には、タスクのステータスを ONGOING(作業中ステータス)に切り替えます。

パッチを適用できる場合#

ソフトウェアのパッチが公開されている場合、バージョンアップデートにより脆弱性を解消できます。 タスク一覧の「パッチ適用」列が になっている脆弱性では、脆弱性を解消するパッチが公開されています。 タスクをクリックし、タスク詳細 > 関連するソフトウェア の「アップデートコマンド」をクリックすると、パッチ適用に必要なアップデート用のコマンドが表示されます。

また、タスク一覧のチェックボックスでタスクを複数選択し、「アップデートコマンド」を押すと、アップデート用のコマンドがサーバ毎に一覧で表示されます。

パッチを適用すると、次回のスキャン時にソフトウェアの構成情報が更新され、新しいバージョンで脆弱性が検知されなくなると、そのタスクのステータスが PATCH_APPLIED に自動で切り替わります。

パッチ適用分をサービスに反映するには

サーバ上でパッチを適用しても、サービス側にはそのパッチ適用分が反映されていないため、「手動スキャン」等を実行しても PATCH_APPLIED ステータスには切り替わりません。

cronなどの設定によりサーバの構成情報のアップロードが行われると、パッチ適用分がサービス側に同期されて、ステータスが切り替わります。 定期実行を待たずに構成情報をサービス側に同期するには、手動で /opt/vuls-saas/vuls-saas.sh (Linux環境の場合)などを実行してください。

パッチを適用できない場合#

ソフトウェアのパッチは公開されていないが緩和策は公開されている、または本番影響を考慮してパッチ適用ではなく設定変更などの緩和策を取る場合があります。 タスク一覧の「緩和策/回避策」の列が になっている脆弱性では、脆弱性の影響を低減できる緩和策が公開されています。 タスクから脆弱性詳細に遷移し、「緩和策」の欄から各ベンダの公開している緩和策情報を確認しにいきます。

緩和策の適用で脆弱性対応を完了した場合、タスクのステータスを WORKAROUND に変更して対応済みとします(緩和策の適用は自動検知されないため、ステータスの変更をする必要があります)

脆弱性への対応状況の記録#

パッチの適用や緩和策の適用をしたら、その旨をタスクに記録しておきます。 タスクの「コメント」欄に、対応した内容など作業内容を記録できます。

コメント欄では、CSIRT やグループ管理者、各ユーザに向けた「メンション機能」も利用できます。

task_comment