SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

Rapid7 InsightVMと脆弱性管理

セキュリティ
2019.09.27

Rapid7 InsightVMと脆弱性管理

皆さま、こんにちは
SB C&S株式会社 技術担当の秋池です。

いきなりですが、リスクベースセキュリティという言葉を耳にしたことはありますでしょうか。

セキュアなシステム環境を維持するために既存のシステム環境に潜む脆弱性を発見し管理する、リスクを念頭に置いたリスクベースの防御策を考える必要があります。

そこで、それらの運用を一貫して行える<Rapid7社 InsightVM>のご紹介をいたします。

>InsightVMとは

InsightVMとは、脆弱性リスク管理を行う製品です。脆弱性のリスク管理を行うには、脆弱性の発見、どういった脆弱性であるかの評価、評価した脆弱性の修正が必要になります。これらの工程を適切に行うことで、システム内を堅牢に保つことができます。今回は、それぞれの工程に沿ったInsightVMの機能をご紹介いたします。

>脆弱性の発見

・スキャン

InsightVMには、5種類のスキャンが存在しております。それぞれの特徴とメリット・デメリットをご紹介します。

ディスカバリスキャンおよび認証ディスカバリスキャンは、脆弱性をスキャンしないためにライセンスを消費することなく、スキャンを行うことができます。所持しているアセットの情報を取得することが目的のスキャンとなり、運用の方法としては認証スキャンを行い構成が同じアセットが存在した場合は、代表する1つのアセットに対して脆弱性をチェックするスキャンを行うなどの運用も可能です。

また、動的にIPが変わるアセットに対しては、MACアドレスやホスト名、デバイス固有の識別子を確認し同一だと判断できるため、スキャン時に不要なライセンスを消費することはありません。

1.ディスカバリスキャン

セキュリティスキャナ「Nmap」によるアセットとサービスの発見を行います。スキャンエンジンからリモートで行い、TCPやUDPのパケットをスキャン対象に送り、その応答を1500件以上のデータベースと照合し、OSの解説、ベンダ名、OSの世代などのOSに関する詳細情報を出力します。これによって、OS種別の判定や推測が可能となります。

2.認証ディスカバリスキャン

認証情報を利用し対象にログインした状態でスキャンを行うことで、ディスカバリスキャンに比べ構成の情報やインストールされているプログラムなどの詳細な情報を得ることができます。

3. 非認証スキャン

上記2つのディスカバリスキャンとは違い、見つかったOSやプログラムに存在する脆弱性までスキャンを行います。ですが、非認証スキャンはオープンポートに対してスキャンを行うため、認証情報が必要であったり、外部には公開されていないポート上で動いているサービスに存在している脆弱性は検出できません。

4.認証スキャン

認証情報を利用しログインした状態でアセットの詳細情報を取得し、それらに潜む脆弱性までスキャンを行います。非認証スキャンに比べ、外部に公開していないサービス内の脆弱性情報もスキャンすることが可能です。

また、ポリシースキャンが実行可能です。ポリシースキャンとは、アセットを構成する設定に対してポリシーに応じた内容に準拠しているのかを定期的な監査するスキャンを指します。システムによっては、設定がポリシーに準拠していることが求められる場合があり、ポリシースキャンを行うことによって、定期的に準拠していることを確認することができます。このポリシースキャンは、認証スキャンのみ対応しています。

監査可能なポリシーは以下となります。

  • USGCB 2.0ポリシー

米国政府共通設定基準(USGCB)は、米国政府機関に配備されている情報テクノロジー製品を対象に『共通セキュリティ設定』に準拠させるための取り組みです。FDCC(後述)が進化したもので、米国政府内では義務付けられているセキュリティ設定であり、連邦政府と取引関係にある、または米国政府のネットワークに接続するコンピュータを有する企業は、USGCB 2.0規格に準拠することが求められます。

  • USGCB 1.0ポリシー

USGCB 2.0は、1.0の「アップデート」ではなく、別個の内容と見なされています。そのため、本アプリケーションには後のバージョンのものに加えて、USGCB 1.0チェックが含まれています。

  • FDCCポリシー

米国政府が各省庁に向けて、デスクトップ環境の最低限のセキュリティ設定を実施するように定めた基準です。Windows ソフトウエアを『共通セキュリティ設定』に準拠させることにより、ベースラインのセキュリティを確保しつつ、ヘルプデスクおよびパッチテストにかかる費用の大幅な削減を見込んだ取り組みになります。

  • CISベンチマークポリシー

このベンチマークは、非営利団体であるCenter for Internet Security(CIS)により開発され、米国政府・民間事業・セキュリティ業界・学界が協力してできたセキュリティ設定ガイドラインです。ベンチマークの内容には、ネットワークデバイス、オペレーティング・システム、ミドルウエアおよびソフトウエア・アプリケーションの堅牢化のための、技術制御ルールおよび価値が含まれており、これらは、商業ビジネスのための設定セキュリティ規格として広く支持されています。

5.エージェントスキャン

エージェントをインストールすることで、アセットの内部からスキャンを行います。

対象のアセットにインストールする必要はありますが、インストール後はエージェントが自動で6時間おきに情報収集を行うため、追加で認証情報の設定・管理する必要がありません。収集された情報はクラウドに送信され、クラウド側で分析されるため、端末上に掛かる負荷も軽減されます。

PCIDSSなどの対応や最新のサイバー攻撃への対応など短いスパンでの脆弱性診断を実施する必要性と高まっており、在宅勤務や出張が多い従業員に対して有効になります。

・Containers

Docker などコンテナ技術にも対応しており、上記の認証スキャン時にアセット上でコンテナが動作しているかを判断し、コンテナが動作している場合は、別途接続したリポジトリ上にあるコンテナイメージに対してスキャンを行うことが可能です (イメージのスキャンはクラウド上で動作)。その際にライセンスの消費がないため、複数のコンテナイメージに対しての脆弱性スキャンが可能になります。

・Cloud Configuration Assessment for AWS

AWS の各種サービス(IaaS/PaaS/SaaS) のリソース設定・セキュリティを一元的にアセスメント/チェックすることができる機能です。2019年5月現在でアセスメントには、CISベンチマークを中心とした125のルールが存在しており、パブリッククラウドの設定の不備による情報漏えい対策となります。

また、複数アカウント/リージョン対応に対応しており、AWSアカウントで作成されている各種リソースの可視化を行うことができます。InsightVMを導入していれば、追加導入・構築不要となっており、コンテナのスキャンに続いてこちらの機能もライセンス消費なく利用できます。

>脆弱性の評価

発見された脆弱性は、脆弱性の標準的な評価方法であるCVSSスコアだけでなく「RealRisk」と呼ばれるRapid7社独自のスコア方法でさらに評価を行います。

・CVSS

アセット内に存在する脆弱性を評価する手法であり、その評価手法がオープンであることでさまざまな種類の脆弱性のリスクを、ベンダーに依存せずに同じ条件下で比較できます。攻撃前の認証要否や、どこから攻撃可能であるか(ローカルやネットワーク)などの評価項目をシステムの状況に応じて選択することでスコアが算出できます。

Real Risk

RealRIskは、CVSSのスコアに加え、下記のような観点を加味し0~1000の数値で脆弱性を評価したスコアリングシステムです。

  • 脆弱性が発見されてからの期間
  • エクスプロイト(脆弱性を悪用して攻撃を行うプログラム)がシステムに与える影響度
  • その脆弱性を悪用するマルウエアキット(脆弱性を悪用するマルウエアを作成するためのツール)が存在しているのか

これらの観点によって脆弱性の評価だけではなく、より現状のシステム環境と攻撃のトレンドに即した評価を行うことが可能になります。

スキャン結果では、下図のようにCVSSとリアルリスクが横並びで確認できます。

1.png

>脆弱性の管理・修正

これまでは脆弱性の発見と評価について記載しましたが、見つかった脆弱性を把握し修正までをプロジェクト化し管理する機能も充実しています。ここではその機能の一部をご紹介します。

・ダッシュボード

多くの製品のダッシュボードはカスタムすることができませんが、InsightVMにおいては可能です。表示された情報に応じて「Card」と呼ばれるパーツを組み合わせることで、確認したい項目に応じたダッシュボードを作成できます。

「Card」には、発見された脆弱性のリスクの割合をパイチャートにすることや発見された脆弱性をリスク順に並び替えたテーブルなど豊富な種類が存在しています。

・修正プロジェクト

見つかった脆弱性に対して、その脆弱性を修正するまでのプロジェクトを設計し、人をアサインすることが可能です。プロジェクトの設計は、予め条件を設定することで自動化することもできます。条件の設定は、CVSSやRealRiskの数値が一定以上の場合や、アセットの中でも個人情報を保存している重要資産に脆弱性が見つかった場合など細かく設定できます。

InsightVM上に存在していないユーザーに関しても、修正プロジェクトの担当者としてメールで通達することができ、修正までの期限や修正方法など共有することで円滑なプロジェクトの進行が可能になります。修正に必要な情報は見つかった脆弱性情報と合わせて提供され、指定のバージョンへのアップデートや設定変更など修正する脆弱性ごとに確認することができます。

また、プロジェクト管理製品とも親和性が高く、JIRA、ServiceNowといった製品と自動連携することで、脆弱性修正プロジェクト以外の外部プロジェクトと連携した包括的な管理が行えます。

・GOALS & SLAs

特定の脆弱性に限らず、スキャンによって得られる情報を活用し、さまざまな観点からセキュリティレベルを高めていくための定量的な目標管理を行っていくための機能です。

一定期間以内に「重大度高」の脆弱性を全てのアセットで改善する、社内のセキュリティポリシーで許可されていない特定アプリケーションがインストールされているアセットが存在しない状態を定常的に保つ、といった利用例があります。また、週一回の定期スキャンが実行できていないアセットを洗い出すことや、実行できなかったアセットの割合をグラフとして可視化することで、ポリシーに準拠しているアセットの状況がわかります。

ダッシュボードには本機能用の「Card」もあるため、運用担当者だけでなく、セキュリティ管理者やCISOの観点でも活用することができます。

・最後に

今回は、InsightVMについて機能を軸にご紹介いたしました。脆弱性リスク管理に加え、コンテナへの脆弱性診断や、資産管理などさまざまな場面でご利用いただけます

ここまで読んでくださり、ありがとうございました!

他のおすすめ記事はこちら

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
秋池 幹直