第2回 セキュリティ共有勉強会（https://intra-security.connpass.com/event/47638/）の資料です。

1. 第2回 セキュリティ共有勉強会
2017.２.3
1
脆弱性スキャナVulsを使って
DevSecOpsを実践！
Future Architect Inc,
Takayuki Ushida

2. 自己紹介
 牛田 隆之（Ushida Takayuki）
 フューチャーアーキテクト株式会社
Technology Innovation Group
セキュリティーソリューション担当
前職ではインフラ運用・監視系
 脆弱性スキャナVulsのビューア「VulsRepo」を開発
 Twitter／Qiita／GitHub
usiusi360
2

3. 世間はセキュリティインシデントに
関するニュースで一杯
3抜粋）IT Pro
http://itpro.nikkeibp.co.jp/security/?itp_lnavi_security
システム運用者担当者は明日は我が身と思って
（(；゜Д゜)ガクガクブルブル・・・

4. 毎日脆弱性情報を収集？
4抜粋）IT Pro
http://itpro.nikkeibp.co.jp/security/?itp_lnavi_security
昨年(2016)に発表されたCVE-IDの数は約6600件
CVE-IDだけ発行されていて、JVN・NVDに掲載されて
いない脆弱性も沢山ある

5. 脆弱性情報を起点にした人力運用の限界
脆弱性チェックの自動化が必要 5
日々増えていく脆弱性
を人が一つ一つ判断す
るのは限界
自分に関係ない情報も
多いのでツライ
情報を見逃したら脆弱
性が放置されたまま残
ってしまう
継続して実施するのは
困難
負の連鎖

6. 6
VULnarability Scanner
脆弱性 スキャナー

7. 7
脆弱性対策にまず必要なのは、
「Visibility（可視化）」と、
可視化したセキュリティ状況の「モニタリング」
「見えないことは、コントロール出来ない」
Vulsのカバー範囲
脆弱性情報収集 対象マシン調査 対策、パッチ検証 本番適用
Vuls 対策、パッチ検証 本番適用
現行運用
Vulsでの運用
自動で可視化

8. 8
特徴
 オープンソース（GPLｖ３）
 エージェントレス・エージェントモード モジュール配置するのみ。
 非破壊で安全にスキャン。
 セットアップ、初期設定が非常に簡単
 ディストリビューションパッケージ及びパッケージ以外のソフトウ
ェアの脆弱性も検知可能（要CPE登録）
 オンプレ、クラウドの両方に対応
 幅広いLinuxディストリビューションに対応
(AmazonLinux、CentOS、Ubuntu、RHEL、FreeBSD、・・・)
 Dockerコンテナ対応（SSH不要）
 日本語でレポート可能
 豊富なレポート手段（Slack, e-mail, TUI, WebUI …）

9. 9
一時１位（/約1,000万）に！
GitHub Stars
Vulsの認知度

10. 10
Vulsのスキャン結果通知
 Email、Slack通知に対応（日本語で表示可）

11. 11
Vulsのレポート（分類）
レポート提出
コンソール
QuickSight
ElasticSearch＋Kibana
小規模
大規模
クラウド
TUI
Web（VulsRepo)
Excel
オンプレ
インタラクティブ
システム規模と目的に合わせて選択可能

12. 12
Vuls TUI
Vuls TUIで簡単に結果をコンソールで閲覧可能。

13. 13
VulsRepo
VulsRepoでVulsの結果をピボットテーブルのように色々な角
度から集計できる。またグラフ化することもできる。

14. 14
Excel連携
Qiita：VulsのログをCSVにしてExcelで可視化する
- Execlレポートにすることでシステムに直接アクセスできない
監査組織への定期報告に使える

15. 15
Qiita：VulsのログをElasticSearchに取り込んで可視化する
– オンプレ環境で大量のログを集計、可視化する際に有効
ElasticSearch＋Kibana連携

16. 16
他ツール・サービスとの連携
 Zabbix連携
• Qiita：脆弱性スキャナVulsのスキャン結果をZabbixへ連携しアラート
通知する
• Qiita：Zabbixに登録されたホスト情報を脆弱性スキャナVulsへ自動連
携する
 AWS連携
• Qiita：脆弱性スキャナVulsでAmazon EC2をスキャンし脆弱性深刻度
をタグ付けする
• EC2のVulsスキャンをほんの少し便利にするツール「ec2-vuls-
config」
 AWS Lambda
• AWS LambdaでVulsを使おうと試みた話

17. 17
Vuls 参考情報
• GitHub
https://github.com/future-architect/vuls/blob/master/README.ja.md
※日本語マニュアルがあります。
• Qiita：脆弱性スキャナVuls 関連リンク集
http://qiita.com/usiusi360/items/aeb3cd3630badfacdb4e
• ｵｰﾌﾟﾝｿｰｽｶﾝﾌｧﾚﾝｽ2017 Tokyo/Spring
2017-03-10 (金) 14:00-14:45 明星大学 日野キャンパス
Go製脆弱性スキャナー「Vuls」をバズらせたコツとは？
エンプラで培った秘伝のSQL開発手法をOSS化！
エンプラでSPAで最新UI！？よし、作ってOSS化！
検索

18. 18
まとめ
脆弱性検知は自動チェックツールを使って運用を楽に！
• 脆弱性対策の第一歩はシステムに潜在する脆弱性を可視化するこ
とです。
• 脆弱性検知は一回行って終わりではありません。継続的に実施す
ることが必要です。
OSSなので無料で使えます！
• 検知機能だけでなく、可視化ツールも含めて全ての機能がOSSだ
けで構成できます。
• 規模や運用条件に合わせて柔軟に構成できます。