［秋葉原］第2回ゼロから始めるセキュリティ入門 勉強会(https://weeyble-security.connpass.com/event/48205/)のLT資料です。

1. 1
脆弱性スキャナ で始める
セキュリティ対策
第2回ゼロから始めるセキュリティ入門 勉強会
2017.1.16
Takayuki Ushida

2. 自己紹介
• 牛田 隆之（Ushida Takayuki）
• フューチャーアーキテクト株式会社
– Technology Innovation Group
– セキュリティーソリューション担当
– 前職ではインフラ運用・監視系
• 脆弱性スキャナVulsのビューアVulsRepoを開発
• Twitter／Qiita／GitHub
– usiusi360
2

3. 3
昨今の脆弱性情勢と運用面の課題

4. 毎日脆弱性に関するニュースで一杯
4抜粋）IT Pro
http://itpro.nikkeibp.co.jp/security/?itp_lnavi_security

5. 5
脆弱性報告件数の推移
抜粋）JPCERT CC.
ソフトウェア等の脆弱性関連情報の
取扱いに関する届出状況[2016年第3
四半期（7月～9月）]
https://www.jpcert.or.jp/press/2016/vul
nREPORT_2016q3.pdf
1日あたり４.２件もの脆弱性が報告されている。
抜粋）JPCERT CC.
ソフトウェア等の脆弱性関連情報の取
扱いに関する届出状況[2016年第3四半
期（7月～9月）]
https://www.jpcert.or.jp/press/2016/vuln
REPORT_2016q3.pdf

6. 6
脆弱性対応は、時間との戦い！！
発見・対処が遅れるほど、外
部から脆弱性を突かれるリス
クが高くなる
• 脆弱性情報が公開されたということは、攻撃者にとっても脆弱性を突くた
めのヒントが公開されたってこと。
• 脆弱性が公開されたあと、それを標的にしたアタックが急増する。
• 実際には公表される前のゼロデイもあって怖い。

7. 7
脆弱性情報を毎日ウォッチしつづけるのはツライ
• CVE等の脆弱性情報は追加だけではない！
過去の情報も頻繁に更新されている。
• 更新された内容に重大な内容(脆弱性レベル・対象)が含ま
れていても、話題になるのは一部だけ。
• 全てのアップデートについて毎回、自システムのインストー
ル構成と照らし合わせて影響があるか一つずつ確認する
のはタイヘン！チェック漏れがあったら一大事！！

8. 脆弱性情報を元にした人力運用の限界
• 日々増えていく脆弱性を人が一つ一つ判断するのは限界
• 脆弱性情報提供サイトの情報提供自体に遅延が生じている。
脆弱性対策の自動化が必要
脆弱性対策ツールを
適材適所で正しく使う 8

9. 9
サーバにおける脆弱性対策

10. 10
脆弱性対策にまず必要なのは、
「Visibility（可視化）」と、可視化したセキュリティ状況の「モニタリング」
「見えないことは、コントロール出来ない」
脆弱性対策の分類
近年、脆弱性の種類も多様化し、一つの対策方法だけでは防げない。
脆弱性対策
ネットワーク多
層防御
脆弱性診断
侵入
早期検知

11. 11
公開サーバのネットワーク多層防御・侵入早期検知
SYN Flood攻撃(DoS攻
撃)
SQLインジェクション
クロスサイト
スクリプティング
ポートスキャン
指定IP以外の送信元
通信
コマンドインジェクショ
ン
F5攻撃(Dos攻撃)
Webアプリケーシ
ョン
サーバソフト
OS
ネットワーク
WAF
IPS
ファイアウ
ォール
Apache
mod_security
Apache
mod_dosdetector
Iptables
firewalld

12. 12
脆弱性診断
Webアプリケー
ション
サーバソフトウ
ェア
OS
ネットワーク
Webアプリケーション
脆弱性スキャナー
ソフトウェア脆弱性
スキャナ
ネットワーク
脆弱性スキャナー
ネットワーク
ポートスキャナー
セキュリティ設定
監査ツール
Rapid7、Nessus、OpenVAS
Nmap
OpenVAS、OpenSCAP、 Lynis
OpenVAS、OpenSCAP
OWASP dependency-check
OpenVAS、OWASP ZAP、 Rapid7、Nessus、
Nikto

13. 13
脆弱性スキャナVulsの紹
介
VULnarability Scanner
脆弱性 スキャナー

14. 概要
潜在する脆弱性と該当サーバを可視化
定期実行で対策漏れがなくなる

15. 15
特徴
 オープンソース（GPLｖ３）
 エージェントレス (管理サーバにモジュール配置するのみ)
スキャン対象にはSSH接続のみ。非破壊で安全にスキャン。
AWSへの事前申請不要。
 セットアップ、初期設定が非常に簡単
 ディストリビューションパッケージ及びパッケージ以外のソフ
トウェアの脆弱性も検知可能（要CPE登録）
 オンプレ、クラウドの両方に対応
 幅広いLinuxディストリビューションに対応
(AmazonLinux、CentOS、Ubuntu、RHEL、FreeBSD、・・・)
 Dockerコンテナ対応（SSH不要）
 日本語でレポート可能
 豊富なレポート手段（Slack, e-mail, TUI, WebUI …）

16. 16
Vuls普及の勢い
一時１位（/約1,000万）に！
GitHub Stars
Vulsの認知度

17. 17
メディア紹介
IPAのWeb記事
（ MyJVN事例紹介）
ThinkIT
参照URL: <https://thinkit.co.jp/article/10092>
参照URL: <http://jvndb.jvn.jp/apis/>

18. 18
VulsRepo
Vulsの豊富な通知・レポート手段

19. 19
Vuls⇒SlackVulsのスキャン結果通知
 Email、Slack通知に対応（日本語で表示可）

20. 20
Vuls⇒SlackVulsのスキャン結果通知
 監視ソフト Zabbixへ検知数を連携
Qiita：脆弱性スキャナVulsのスキャン結果をZabbixへ連携し
アラート通知する
脆弱性検知結果を
出力・加工
Zabbixで条件指
定、新規脆弱性検
知
スキャンスクリプトを
cronに登録し、
Zabbixに送信

21. 21
Vulsのレポート（分類）
レポート提出
コンソール
QuickSight
ElasticSearch＋Kibana
小規模
大規模
クラウド
TUI
Web（VulsRepo)
Excel
オンプレ
インタラクティブ
システム規模と目的に合わせて選択可能

22. 22
Vuls TUI
Vuls TUIで簡単に結果をコンソールで閲覧可能。
Vulsのレポート表示（TUI）

23. 23
VulsRepo
VulsRepoでVulsの結果をピボットテーブルのように色々な角度か
ら集計できる。またグラフ化することもできる。
Vulsのレポート表示（Web－ VulsRepo）

24. 24
VulsRepo
Qiita：VulsのログをCSVにしてExcelで可視化する
- Execlレポートにすることでシステムに直接アクセスできない監査組
織への定期報告に使える
Vulsのレポート表示（Excel連携）

25. 25
VulsRepo
クラウド上のBI SaaSサービスへ連携することで大規模環境のログでも
素早く集計、ドリルダウンができるようになる。
Vulsのレポート表示（Amazon QuickSight連携）

26. 26
VulsRepo
Qiita：VulsのログをElasticSearchに取り込んで可視化する
– オンプレ環境で大量のログを集計、可視化する際に有効
Vulsのレポート表示（ElasticSearch＋Kibana連携）

27. 27
Vuls構成パターン

28. 28
Vuls構成パターン①
Vulsはエージェントレス、スキャンし
たいサーバにSSH接続するだけでチ
ェックが行えます。疑似攻撃を行うわ
けではないためシステムに影響を与
えることなく安全にスキャンできます。
リモートサーバをスキャン
dockerコンテナ内のスキャンを行う
場合、「docker exec」コマンドを介し
てチェックします。そのためdockerコ
ンテナ内にSSHデーモンは必要あり
ません。Vulsをインストールしたサー
バ以外にリモートのサーバであって
も同様にスキャン可能です。
Dockerコンテナをスキャン

29. 29
Vuls構成パターン②
複数のシステムを運用していて、それぞれが別々のネットワークに分離されて
いるような環境の場合、個々のVulsサーバでスキャン時に出力されたJSONフ
ァイルを一箇所に集めることで、横断的に分析することができます。
複数のVulsサーバによる運用

30. 30
Vuls構成パターン③
Vulsはスキャン時にyumやaptコマンドにより最新版パッケージのchangelogまたは
updateinfoの情報を取得するためインターネットへのアクセス経路が必要です。
システムの構成またはポリシー上、外部へ直接アクセスできる経路がない場合は、シス
テム内にローカルリポジトリサーバを構築しパブリックなリポジトリサーバのデータをミラ
ーし、システム内の各サーバはローカルリポジトリを参照することでスキャンすることが
出来るようになります。
インターネットから隔離された環境での運用

31. 31
他のツールとの比較

32. 32
VulsとOpenVAS、AWS Inspecterの比較
Vuls OpenVAS AWS Inspecter
コスト OSS OSS 従量課金
対象OS Amazon Linux、CentOS、Debian、
FreeBSD、Redhat、Ubuntu
CentOS、Debian、Fedora、
RedHat、Windows
AmazonLinux、Ubuntu(14.04LTS
～)、
Redhat（7.2）
CentOS（7.2）
Windows Server 2008 R2、2012
チェック
内容
.pkg、.rpmに含まれたCVE
CPEを指定したもののCVE
.pkg、.rpmに含まれたCVE
NVTs(Network Vulnerablility
Tests）※検査用シグネチャに基
づいたスキャン
一般的な脆弱性と曝露
CISオペレーションシステムのセ
キュリティ設定ベンチマーク
セキュリティのベストプラクティス
レポート Web、CUI、text、JSON、Mail、
slack、CSV
Web、HTML、CSV、PDF Web、CSV
ログイン
権限
一般ユーザでのログイン権限＋
sudo権限
Root権限を持つユーザでのログ
イン権限
エージェントを起動
導入の
容易さ
◎ △ ◎
クラウド
環境で
の使用
申請不要 申請必要 申請不要

33. 33
VulsとOpenVAS、AWS Inspecterの比較
• Qiita：Vuls・OpenVAS・Amazon Inspectorを徹底比較
– Vulsはスキャンスピード、検知精度に優れている結果になった！

34. 34
Vuls 参考情報
• GitHub
https://github.com/future-architect/vuls/blob/master/README.ja.md
※日本語マニュアルがあります。
• コミュニティSlack
https://vuls-github.slack.com/messages/vulsjp/
• 勉強会（vuls-jp） #1 2016/9/26開催 100名ほど参加
http://vuls-jp.connpass.com/
• Qiita：脆弱性スキャナVuls 関連リンク集
http://qiita.com/usiusi360/items/aeb3cd3630badfacdb4e
検索

35. 35
まとめ
脆弱性検知は自動チェックツールを使って運用を楽に！
有償サポート、導入サポート、カスタマイズはご相談ください
• フューチャーアーキテクト株式会社 担当：牛田（ウシダ）まで
• mailto: gr-tig-ta-security@future.co.jp
• 脆弱性対策の第一歩はシステムに潜在する脆弱性を可視化すること
です。
• 脆弱性検知は一回行って終わりではありません。継続的に実施するこ
とが必要です。
OSSなので無料で使えます！
• 検知機能だけでなく、可視化ツールも含めて全ての機能がOSSだけで
構成できます。
• 規模や運用条件に合わせて柔軟に構成できます。

36. 36