2015年 3月19日 JPCERT/CC POCミーティング ゲスト講演 「脆弱性分析のオートメーション化 ～脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に～」発表資料

1. Gehirn Security Services
ゲヒルン株式会社
技術開発部 技術局
茨木 隆彰
脆弱性分析のオートメーション化
～脆弱性と資産管理の一元化で脆弱性ハンドリングを効率的に～

2. Gehirn Security Services
お客様の頭脳となる
ドイツ語の「Gehirn（ゲヒルン）」は「頭脳」という意味です。私た
ちは、お客様の頭脳となり、日本のインターネットサービスをより
便利で安全にするために存在しています。
「人と社会のために新たな価値を創造し続ける」を経営理念に
掲げ、2010年7月に創業しました。『防災』、『情報セキュリティ』、
『インフラストラクチャ』の 3つの分野で、日々研究開発を行なって
います。
ゲヒルンとは

3. Gehirn Security Services
今日、お話する内容
• 脆弱性と資産管理の一元化しての脆弱性ハンドリング
• 「脆弱性の検出」を自動化して効率的に！
• 初期の「脆弱性分析」を自動化して効率化に！
技術者が「攻めのセキュリティ」を打てる時間を創る

4. Gehirn Security Services
脆弱性ハンドリングとは
検出された脆弱性に対して対応し、システムを安全に保つためのフロー

5. Gehirn Security Services
取り巻く環境の現状と、課題の整理

6. Gehirn Security Services
資産管理の現状
企業における資産管理は、ソフトウエアのライセンス管理などを目的に実
施されている。
そのため、それに特化した手法が取られがちである。
例えば：
• 表計算ソフトによる台帳管理
• 資産管理ソフトウエアの利用

7. Gehirn Security Services
脆弱性ハンドリング・管理の現状
セキュリティ技術者は、次のような情報を参照しながら脆弱性ハンドリング
の対応を行っている。
• Excelの資産台帳
• 資産管理システムの登録内容
• サーバの実物、技術者のカンなど
セキュリティ技術者は資産管理の情報を見ている！

8. Gehirn Security Services
脆弱性ハンドリングを難しくしている要因
• Excelでの台帳管理の場合
• ソフトウエアの名前などが正規化されていない
• 管理者によって台帳の粒度が統一されていない
• 資産管理システムを使用する場合
• OSのインベントリ情報をそのまま使っている
• 環境をまたいで統一に扱えない

9. Gehirn Security Services
課題が見えてくる
セキュリティ技術者は「資産管理」の情報を見ている
一方、資産管理はセキュリティ技術者を見ていない
「資産管理」のやり方を少し変えれば、
脆弱性ハンドリングを飛躍的に効率化できる！

10. Gehirn Security Services
具体的な改善手法

11. Gehirn Security Services
資産管理台帳の前提
どのサーバで、どのソフトウエアが使われているのかを管理
サーバ名 ソフトウエア バージョン
Webサーバ
Ubuntu Linux 14.04.2
Apache http server 2.4.12
OpenSSL 1.0.1a
データベースサーバ
Cannonical Ubuntu linux 14.04.2
Openssl 1.0.1a
資産管理台帳の一例：

12. Gehirn Security Services
ソフトウエアを表す方法を変える
cpe:/a:microsoft:internet_explorer:8.0.6001
ソフトウエア名
バージョン番号
ソフトウエアを一意に識別するための識別子。脆弱性を含むソフトウエアを示すため、脆弱性情報機関などは
このルールを採用していることが多い。 自動処理に好適なフォーマットになっている。
ベンダー名
ソフトウエア名
バージョン
CPEとは？
CPEを併用！
資産DBでソフトウエアを表す方法：
：Microsoft
：Internet Explorer
：8.0.6001

13. Gehirn Security Services
ソフトウエアを表す方法を変える
CPEを利用する際の注意点：
• MyJVNなどのCPE Dictionaryを使用する
• もし自由に振る場合は、きちんと追跡する
• ソフトウエアバージョンの扱いに気をつける
OfficialCPE辞書 自社 CPE辞書
対応をチェック 資産DB最新の辞書を参照
DB更新が発生！

14. Gehirn Security Services
CVSS環境基準をサーバごとに設定
接続ネットワーク名
使用サービス
CVSS環境基準
を導入！
資産DBでサーバの状態を表す方法：
CVSS環境基準とは？
脆弱性そのもののリスク評価を示した CVSS基本値に対して、利用者の環境ごとにスコアを補正するための
基準を表す。自分の利用環境に特化したリスク評価が可能になる。ある環境が攻撃された場合に、被害がど
れだけ大きくなるかなどが基準になる。
判断基準：
・二次的被害の可能性
・影響を受ける対象システムの範囲
・機密性の要求度
・完全性の要求度
・可用性の要求度

15. Gehirn Security Services
実際の運用手順

16. Gehirn Security Services
運用全体のイメージ図
脆弱性情報DB 脅威情報DB
資産DB
セキュリティ技術者
資産の追加
脆弱性 検出結果 検出結果 脅威
MyJVN
NVD など
JPCERT/CC
@police など
対応
最終判断！

17. Gehirn Security Services
脆弱性の情報を取得する
脆弱性情報の取得には「MyJVN」や「NVD」などの脆弱性情報データベースを利用する。
使いやすいAPIが提供されている場合もある。
たとえば、MyJVNの場合は「MyJVN
API」としてAPIサービスが提供されてい
る。使いやすいXMLの形で脆弱性情報
を取り出すことができる。

18. Gehirn Security Services
脆弱性の情報を取得する
概要 脆弱性の概要についての情報
CPE CPEで影響するソフトウエアのリスト
CVSS基本値 CVSS基本値による脆弱性のリスク評価
CWE CWEによる脆弱性の分類
パッチ情報 リリースされているパッチの情報
「MyJVN API」のXMLには様々な情報が含まれているが、脆弱性分析のオート
メーション化には特に以下の項目が重要

19. Gehirn Security Services
脆弱性の含まれているサーバを特定する
脆弱性情報機関から新しい脆弱性情が取得された場合には、資産管理データ
ベースに該当するCPEのソフトウエアが存在しないか、確認を行う。
CPEでソフトウエアを検索する際は、バージョンを省略した資産も
検出するためにEqualではなくSupersetを用いる。
サーバ名 ソフトウエア(CPE)
Webサーバ
cpe:/o:canonical:ubuntu_linux:14.04::lts
cpe:/a:apache:http_server:2.4.12
cpe:/a:openssl:openssl:1.0.1a
データベース
サーバ
cpe:/o:canonical:ubuntu_linux:14.04::lts
cpe:/a:openssl:openssl:1.0.1a
資産データベース
CVE-XXXX-YYYYY
cpe:/a:apache:http_server:2.4.12
(AV:N/AC:L/Au:N/C:N/I:N/A:P) 5.0
CWE-20
脆弱性データベース

20. Gehirn Security Services
CVSS環境基準で脆弱性を分析
脆弱性が内包された資産が発見されたら、脆弱性のCVSS基本基準とサーバの
CVSS環境基準を掛けあわせてスコアを算出し、簡易脆弱性分析を行う。
この結果をメールなどでセキュリティ技術者に通知する。
サーバ名 CVSS環境基準
Webサーバ CDP:L/TD:M/CR:L/IR:L/AR:H
CVE-XXXX-YYYYY
cpe:/a:apache:http_server:2.4.12
(AV:N/AC:L/Au:N/C:N/I:N/A:P) 5.0
CWE-20
脆弱性データベース 資産データベース
最終判断！
サーバ・ソフトウエア・リスク評価

21. Gehirn Security Services
脅威情報に対しては、”もしかして”で対応
資産情報が完全だという前提は漏れの原因になりうる。そこで、「脅威情報」が取
得された場合には、近しいソフトウエアでも検索を行い、サーバに脆弱性のあるソ
フトウエアがないかを確認する。
サーバ名 ソフトウエア(CPE)
Webサーバ
cpe:/o:canonical:ubuntu_linux:14.04::lts
cpe:/a:apache:http_server:2.4.12
cpe:/a:openssl:openssl:1.0.1a
データベース
サーバ
cpe:/o:canonical:ubuntu_linux:14.04::lts
cpe:/a:openssl:openssl:1.0.1a
資産データベース脅威情報
データベース
~~に関する注意喚起
〜〜に関する注意喚起です。
実際に市場での攻撃が観測
されています。
~~が依存するソフトウエアを検討
cpe:/o:canonical:ubuntu_linux
可能性のあるソフトウエア：

22. Gehirn Security Services
脅威情報に対しては、”もしかして”で対応
もし対象のソフトウエアがインストールされていれば、資産データベースに登録す
る。この繰り返しによって、脆弱性情報がより確実なものになっていく。
サーバ名 ソフトウエア(CPE)
データベース
サーバ
cpe:/o:canonical:ubuntu_linux:14.04::lts
cpe:/a:openssl:openssl:1.0.1a
cpe:/a:hogehoge:piyopiyo
資産データベース
資産情報を追加
次回以降はこのソフトウエ
アも通常通り脆弱性を検出
できる。
資産情報が育っていく！

23. Gehirn Security Services
他の脆弱性検出手法との比較

24. Gehirn Security Services
手動による脆弱性分析と比較すると
以下のようなメリットがある
• セキュリティエンジニアの負担を軽減できる
• 正確な資産リストを育てていくことができる
• ヒューマンエラーを防ぐことができる

25. Gehirn Security Services
「脆弱性スキャナ」と比較して
以下のようなメリットがある
• 通信などを発生させないので、サービス断がおこらない
• ネットワーク系以外の問題も検出できる
• 継続的にチェックを続けることができる

26. Gehirn Security Services
Gehirn Security Support Serviceのご紹介

27. Gehirn Security Services
Gehirn Security Support Service(GS3)
ゲヒルンでは、これらのノウハウを実装したセキュリティソリューション「Gehirn
Security Support Service(GS3)」を開発しています。

28. Gehirn Security Services
GS3の概念図
Webブラウザから資産の管理や脆弱性の情報を閲覧することができます
資産リストから脆弱性を
一覧表示！
そのまま対応情報へアクセス

29. Gehirn Security Services
まとめ

30. Gehirn Security Services
脆弱性分析のオートメーション化 まとめ
資産管理と脆弱性の一元的を行なうことで、
• JVNの脆弱性を自動収集し、
• 資産に潜在する脆弱性の検出し、
• 資産ごとの脆弱性分析する
ことをある程度、自動的に実施できる。
これによって、次のようなメリットを引き出せる
• セキュリティ技術者の負担軽減
• ヒューマンエラーによる対応漏れ