Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Vulnerability Scanning Service設定・操作ガイド

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for oracle4engineer oracle4engineer PRO
July 24, 2023
Technology
1
5.2k

Vulnerability Scanning Service設定・操作ガイド

Vulnerability Scanning Service(VSS)に関する機能説明およびVSSの設定・操作に関するガイド付き。機能の拡充などに伴い、資料を更新。

Avatar for oracle4engineer

oracle4engineer PRO

July 24, 2023
Tweet

More Decks by oracle4engineer

See All by oracle4engineer
AIエージェント、 社内展開の前に知っておきたいこと
Avatar for oracle4engineer oracle4engineer
PRO
1
49
OCI Oracle AI Database Services新機能アップデート(2025/12-2026/02)
Avatar for oracle4engineer oracle4engineer
PRO
0
20
AI駆動AI普及活動 ~ 社内AI活用の「何から始めれば?」をAIで突破する
Avatar for oracle4engineer oracle4engineer
PRO
0
11
OCI Security サービス 概要
Avatar for oracle4engineer oracle4engineer
PRO
2
13k
Exadata Database Service on Dedicated Infrastructure(ExaDB-D) UI スクリーン・キャプチャ集
Avatar for oracle4engineer oracle4engineer
PRO
8
7.1k
Oracle Database@Google Cloud:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
5
1.1k
Oracle Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
1.1k
Oracle Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
1.7k
Exadata Fleet Update
Avatar for oracle4engineer oracle4engineer
PRO
0
1.4k

Other Decks in Technology

See All in Technology
ヘルシーSRE
Avatar for Hiroki Takatsuka tk3fftk
2
240
型を書かないRuby開発への挑戦
Avatar for Shia riseshia
0
200
マルチプレーンGPUネットワークを実現するシャッフルアーキテクチャの整理と考察
Avatar for Masayuki Kobayashi markunet
2
140
kintone開発のプラットフォームエンジニアの紹介
Avatar for Cybozu cybozuinsideout
PRO
0
840
DX Improvement at Scale
Avatar for ntk1000 ntk1000
3
380
vLLM Community Meetup Tokyo #3 オープニングトーク
Avatar for jpishikawa jpishikawa
0
210
A Gentle Introduction to Transformers
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
2
920
JAWS DAYS 2026 CDP道場 事前説明会 / JAWS DAYS 2026 CDP Dojo briefing document
Avatar for Naomi Yamasaki naospon
0
200
事例に見るスマートファクトリーへの道筋〜工場データをAI Readyにする実践ステップ〜
Avatar for 濱田孝治 hamadakoji
0
200
Claude Cowork Plugins を読む - Skills駆動型業務エージェント設計の実像と構造
Avatar for 西岡 賢一郎 (Kenichiro Nishioka) knishioka
0
300
Shifting from MCP to Skills / ベストプラクティスの変遷を辿る
Avatar for Okuto Oyama yamanoku
4
680
Windows ネットワークを再確認する
Avatar for Murachi Akira murachiakira
PRO
0
300

Featured

See All Featured
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.2k
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
88
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.4k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
210
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
3
360
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
1
900
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
1
290
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
260
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.7k
Site-Speed That Sticks
Avatar for Harry Roberts csswizardry
13
1.1k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
528
40k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
380

Transcript

  1. Vulnerability Scanning Service 操作・設定ガイド 日本オラクル株式会社 2025年8月

  2. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定手順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2025, Oracle and/or its affiliates. 2

  3. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定手順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2025, Oracle and/or its affiliates. 3

  4. ホストに潜在的な脆弱性がないかを調査 サービス概要 ◼ Vulnerability Scanning Service(以下、VSS)は リージョナルサービス※1 として、コンピュート・インスタンスや コンテナ・イメージに潜在的な脆弱性がないかを定期的に スキャン

    ◼ 以下の脆弱性についてスキャン ✓ TCP/UDPのオープンポート ✓ CVE※2 に基づいた脆弱性 ✓ CISベンチマークに基づいた設定状況 ◼ コンピュート・インスタンスにプリインストールされている Oracle Cloudエージェントで実施 ◼ 調査対象となるOS ✓ Oracle Linux, CentOS, Ubuntu, Windows ◼ 検知されたリスクをCloud Guardへ通知 ◼ 無償で利用可能 ◼ Qualys VMDRライセンスを使用している企業は、Qualys Cloudエージェントを利用したスキャンが可能※3 Copyright © 2025, Oracle and/or its affiliates. 4 ※1 コンピュート・インスタンスがリージョン毎に存在する場合、リージョン毎にVSSを設定 ※2 https://www.cve.org/ ※3 https://www.qualys.com/docs/qualys-cloud-platform-oci-onboarding-guide.pdf Vulnerability Scanning Service 概要

  5. スキャンするポート Vulnerability Scanning Service 概要 Copyright © 2025, Oracle and/or

    its affiliates. 5 ポート・スキャンでは、スキャンレベルを軽量(上位100ポート)または標準(上位1000ポート)より選択したうえで実施します。 オプション ポート番号 軽量 7, 9, 13, 21-23, 25-26, 37, 53, 79-81, 88, 106, 110-111, 113, 119, 135, 139, 143-144, 179, 199, 389, 427, 443-445, 465, 513-515, 543-544, 548, 554, 587, 631, 646, 873, 990, 993, 995, 1025-1029, 1110, 1433, 1720, 1723, 1755, 1900, 2000-2001, 2049, 2121, 2717, 3000, 3128, 3306, 3389, 3986, 4899, 5000, 5009, 5051, 5060, 5101, 5190, 5357, 5432, 5631, 5666, 5800, 5900, 6000-6001, 6646, 7070, 8000, 8008-8009, 8080-8081, 8443, 8888, 9100, 9999-10000, 32768, 49152-49157 標準 1, 3-4, 6-7, 9, 13, 17, 19-26, 30, 32-33, 37, 42-43, 49, 53, 70, 79-85, 88-90, 99-100, 106, 109-111, 113, 119, 125, 135, 139, 143-144, 146, 161, 163, 179, 199, 211-212, 222, 254-256, 259, 264, 280, 301, 306, 311, 340, 366, 389, 406-407, 416-417, 425, 427, 443-445, 458, 464-465, 481, 497, 500, 512-515, 524, 541, 543-545, 548, 554-555, 563, 587, 593, 616-617, 625, 631, 636, 646, 648, 666-668, 683, 687, 691, 700, 705, 711, 714, 720, 722, 726, 749, 765, 777, 783, 787, 800-801, 808, 843, 873, 880, 888, 898, 900-903, 911-912, 981, 987, 990, 992-993, 995, 999-1002, 1007, 1009-1011, 1021-1100, 1102, 1104-1108, 1110-1114, 1117, 1119, 1121-1124, 1126, 1130-1132, 1137-1138, 1141, 1145, 1147-1149, 1151-1152, 1154, 1163-1166, 1169, 1174-1175, 1183, 1185-1187, 1192, 1198-1199, 1201, 1213, 1216-1218, 1233-1234, 1236, 1244, 1247-1248, 1259, 1271-1272, 1277, 1287, 1296, 1300-1301, 1309-1311, 1322, 1328, 1334, 1352, 1417, 1433-1434, 1443, 1455, 1461, 1494, 1500-1501, 1503, 1521, 1524, 1533, 1556, 1580, 1583, 1594, 1600, 1641, 1658, 1666, 1687-1688, 1700, 1717-1721, 1723, 1755, 1761, 1782-1783, 1801, 1805, 1812, 1839-1840, 1862-1864, 1875, 1900, 1914, 1935, 1947, 1971-1972, 1974, 1984, 1998-2010, 2013, 2020-2022, 2030, 2033-2035, 2038, 2040-2043, 2045-2049, 2065, 2068, 2099-2100, 2103, 2105-2107, 2111, 2119, 2121, 2126, 2135, 2144, 2160-2161, 2170, 2179, 2190-2191, 2196, 2200, 2222, 2251, 2260, 2288, 2301, 2323, 2366, 2381-2383, 2393-2394, 2399, 2401, 2492, 2500, 2522, 2525, 2557, 2601-2602, 2604-2605, 2607-2608, 2638, 2701-2702, 2710, 2717-2718, 2725, 2800, 2809, 2811, 2869, 2875, 2909-2910, 2920, 2967-2968, 2998, 3000-3001, 3003, 3005-3007, 3011, 3013, 3017, 3030-3031, 3052, 3071, 3077, 3128, 3168, 3211, 3221, 3260-3261, 3268-3269, 3283, 3300-3301, 3306, 3322-3325, 3333, 3351, 3367, 3369-3372, 3389-3390, 3404, 3476, 3493, 3517, 3527, 3546, 3551, 3580, 3659, 3689-3690, 3703, 3737, 3766, 3784, 3800-3801, 3809, 3814, 3826-3828, 3851, 3869, 3871, 3878, 3880, 3889, 3905, 3914, 3918, 3920, 3945, 3971, 3986, 3995, 3998, 4000-4006, 4045, 4111, 4125-4126, 4129, 4224, 4242, 4279, 4321, 4343, 4443-4446, 4449, 4550, 4567, 4662, 4848, 4899-4900, 4998, 5000-5004, 5009, 5030, 5033, 5050-5051, 5054, 5060-5061, 5080, 5087, 5100-5102, 5120, 5190, 5200, 5214, 5221-5222, 5225-5226, 5269, 5280, 5298, 5357, 5405, 5414, 5431-5432, 5440, 5500, 5510, 5544, 5550, 5555, 5560, 5566, 5631, 5633, 5666, 5678-5679, 5718, 5730, 5800-5802, 5810-5811, 5815, 5822, 5825, 5850, 5859, 5862, 5877, 5900-5904, 5906-5907, 5910-5911, 5915, 5922, 5925, 5950, 5952, 5959-5963, 5987-5989, 5998-6007, 6009, 6025, 6059, 6100-6101, 6106, 6112, 6123, 6129, 6156, 6346, 6389, 6502, 6510, 6543, 6547, 6565-6567, 6580, 6646, 6666-6669, 6689, 6692, 6699, 6779, 6788-6789, 6792, 6839, 6881, 6901, 6969, 7000-7002, 7004, 7007, 7019, 7025, 7070, 7100, 7103, 7106, 7200-7201, 7402, 7435, 7443, 7496, 7512, 7625, 7627, 7676, 7741, 7777-7778, 7800, 7911, 7920-7921, 7937-7938, 7999-8002, 8007-8011, 8021-8022, 8031, 8042, 8045, 8080-8090, 8093, 8099-8100, 8180-8181, 8192-8194, 8200, 8222, 8254, 8290-8292, 8300, 8333, 8383, 8400, 8402, 8443, 8500, 8600, 8649, 8651-8652, 8654, 8701, 8800, 8873, 8888, 8899, 8994, 9000-9003, 9009-9011, 9040, 9050, 9071, 9080-9081, 9090-9091, 9099-9103, 9110-9111, 9200, 9207, 9220, 9290, 9415, 9418, 9485, 9500, 9502-9503, 9535, 9575, 9593-9595, 9618, 9666, 9876-9878, 9898, 9900, 9917, 9929, 9943-9944, 9968, 9998-10004, 10009-10010, 10012, 10024-10025, 10082, 10180, 10215, 10243, 10566, 10616-10617, 10621, 10626, 10628-10629, 10778, 11110-11111, 11967, 12000, 12174, 12265, 12345, 13456, 13722, 13782-13783, 14000, 14238, 14441-14442, 15000, 15002-15004, 15660, 15742, 16000-16001, 16012, 16016, 16018, 16080, 16113, 16992-16993, 17877, 17988, 18040, 18101, 18988, 19101, 19283, 19315, 19350, 19780, 19801, 19842, 20000, 20005, 20031, 20221-20222, 20828, 21571, 22939, 23502, 24444, 24800, 25734-25735, 26214, 27000, 27352-27353, 27355-27356, 27715, 28201, 30000, 30718, 30951, 31038, 31337, 32768-32785, 33354, 33899, 34571-34573, 35500, 38292, 40193, 40911, 41511, 42510, 44176, 44442-44443, 44501, 45100, 48080, 49152-49161, 49163, 49165, 49167, 49175-49176, 49400, 49999-50003, 50006, 50300, 50389, 50500, 50636, 50800, 51103, 51493, 52673, 52822, 52848, 52869, 54045, 54328, 55055-55056, 55555, 55600, 56737-56738, 57294, 57797, 58080, 60020, 60443, 61532, 61900, 62078, 63331, 64623, 64680, 65000, 65129, 65389 ※ 詳細は、こちらのURL( https://docs.oracle.com/ja-jp/iaas/Content/scanning/using/port-numbers.htm#port_numbers)を参照

  6. 脆弱性の情報ソース Vulnerability Scanning Service 概要 Copyright © 2025, Oracle and/or

    its affiliates. 6 脆弱性のスキャンでは、以下の情報ソースに基づいて実施します。アプリケーション、オペレーティングシステムおよびサービスなど脆弱性に ついて調査します。 ※ WindowsのスキャンにはOVALデータが含まれていない為、 Windowsのインスタンスをスキャンする際はご留意下さい

  7. CISベンチマーク Vulnerability Scanning Service 概要 Copyright © 2025, Oracle and/or

    its affiliates. 7 CISベンチマークのスキャンは、「5. Access, Authentication and Authorization」にある「SSH Server Configuration」の 内容に基づいて実施します。 ※ CISベンチマークのスキャンは、Windows未対応となります ※ CISベンチマークについては、こちらのURL(https://learn.cisecurity.org/benchmarks)を参照 5.2.20 Ensure SSH PAM is enabled 5.2.21 Ensure SSH AllowTcpForwarding is disabled 5.2.22 Ensure SSH MaxStartups is configured 5.2.23 Ensure SSH MaxSessions is set to 4 or less 5.2.5 Ensure SSH LogLevel is appropriate 5.2.6 Ensure SSH X11 forwarding is disabled 5.2.7 Ensure SSH MaxAuthTries is set to 4 or less 5.2.8 Ensure SSH IgnoreRhosts is enabled 5.2.9 Ensure SSH HostbasedAuthentication is disabled 5.2.10 Ensure SSH root login is disabled 5.2.11 Ensure SSH PermitEmptyPasswords is disabled 5.2.12 Ensure SSH PermitUserEnvironment is disabled 5.2.13 Ensure only strong Ciphers are used 5.2.14 Ensure only strong MAC algorithms are used 5.2.15 Ensure only strong Key Exchange algorithms are used 5.2.16 Ensure SSH Idle Timeout Interval is configured 5.2.17 Ensure SSH LoginGraceTime is set to one minute or less 5.2.19 Ensure SSH warning banner is configured Center for Internet Security

  8. 設定からスキャン結果までの流れ Vulnerability Scanning Service 概要 Copyright © 2025, Oracle and/or

    its affiliates. 8 Administratorグループに所属し ないユーザー(OCI管理者では ないユーザー)がVSSを利用す る場合、リソースへアクセスする為 のIAMポリシーを設定します。 エージェント・ベースのスキャン (CVEおよびCISベンチマークに基 づいた調査)を有効にする 為、 Oracle Cloudエージェントをコン ピュート・インスタンスにデプ ロイ する為のスキャン・サービス 権限 を付与します。 スキャン対象となるホストに対して、 実施するスキャンの内容(ポート、 エ ー ジ ェ ン ト ・ ベ ー ス ) お よ び スケジュールを設定します。 補足: ポート・スキャンとエージェント・ ベース・スキャンの両方を無効に した場合、 ターゲットはスキャンさ れません。 作成したスキャン・レシピを基に 脆弱性スキャンを行うターゲット (コンパートメント、コンピュート・ インスタンス)を設定します。 補足: ターゲットを作成する前に、1つの スキャン・レシピを設定する必要が あります。 スキャン結果より、オープン・ポート、 OSパッチ適用状況、CISベンチ マークなど、コンピュート・インスタン スのセキュリティ脆弱性を特定 します。 スキャン結果は、新しいターゲット の作成後、15分程で表示されま すが、最大24時間掛かる場合も あります。 1. IAMポリシーの設定 2. ホスト・スキャンに必要な IAMポリシーの設定 3. スキャン・レシピの作成 4. ホスト・ターゲットの作成 5. スキャン結果の表示

  9. スキャン結果のイメージ Vulnerability Scanning Service 概要 Copyright © 2025, Oracle and/or

    its affiliates. 9 ホストのスキャン結果(概要) 脆弱性の結果 ポートスキャン結果

  10. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定手順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2025, Oracle and/or its affiliates. 10

  11. 作業条件 Vulnerability Scanning Service 設定手順 Copyright © 2025, Oracle and/or

    its affiliates. 11 作業条件: ✓ Administratorグループに所属するユーザー(OCI管理者)で実施 ✓ グローバルIPアドレスを持つコンピュート・インスタンスを対象にOracle Cloudエージェントによるスキャン ✓ OCIコンソールの言語設定を「日本語」に設定 参考文献: https://docs.oracle.com/ja-jp/iaas/Content/scanning/home.htm (日本語サイト) https://docs.oracle.com/en-us/iaas/Content/scanning/home.htm (英語サイト) Tenancy(Tokyo DC) Cloud Guard Vulnerability Scanning VCN Compute Compute Compute Compartment システム構成(例):

  12. IAMポリシーの設定例 基本ポリシーの設定 Administratorグループに所属しないユーザーがVSSを利用する場合 リソースへアクセスする為のIAMポリシーを設定します。 例えば、SecurityAdminsグループのユーザーがテナンシ全体に対して、 脆弱性スキャン・リソースの作成、更新、削除できるようにする場合、以下 の設定を行います。 具体的なIAMポリシーの設定に関しては、以下URLの「IAMポリシーの スキャン」を参照下さい。 https://docs.oracle.com/ja-jp/iaas/scanning/using/iam-

    policies.htm#iam_policies ホスト・スキャンに必要なIAMポリシー エージェント・ベースのスキャン(CVEやCISベンチマークに基づいた調査) を有効にする場合、Oracle Cloudエージェントをコンピュート・インスタンス にデプロイする為のスキャン・サービス権限を付与します。 例えば、SecurityAdminsグループのユーザーがテナンシ全体でエージェン トベースのスキャンを実行する場合、以下の設定を行います。 例えば、特定のコンパートメント内の全コンピュート・インスタンスに権限を 付与する場合、以下の設定を行います。 Vulnerability Scanning Service 設定手順 Copyright © 2025, Oracle and/or its affiliates. 12 Allow group SecurityAdmins to manage vss-family in tenancy Allow group SecurityAdmins to manage vss-family in tenancy Allow service vulnerability-scanning-service to manage instances in tenancy Allow service vulnerability-scanning-service to read compartments in tenancy Allow service vulnerability-scanning-service to read vnics in tenancy Allow service vulnerability-scanning-service to read vnic-attachments in tenancy Allow group SecurityAdmins to manage vss-family in compartment <compartment_name> Allow service vulnerability-scanning-service to manage instances in compartment <compartment_name> Allow service vulnerability-scanning-service to read compartments in compartment <compartment_name> Allow service vulnerability-scanning-service to read vnics in compartment <compartment_name> Allow service vulnerability-scanning-service to read vnic-attachments in compartment <compartment_name>

  13. Vulnerability Scanning Serviceを利用する為の設定を行います。 事前に脆弱性スキャンを行いたいコンパートメントを「リスト範囲」から選択しておきます。 1. 「アイデンティティとセキュリティ」 をクリック 2. 「スキャン」をクリック 3.

    「スキャン・レシピの作成」を クリック 【補足説明】: 初めてVulnerability Scanning Serviceにアクセスした際、 こちらの画面が表示されます。 Copyright © 2025, Oracle and/or its affiliates. 13 スキャン・レシピの設定 Vulnerability Scanning Service 設定手順

  14. コンピュート・インスタンス向けのスキャン・レシピの作成を行います。 VSS 1. 「スキャン・レシピ」をクリック 2. 対象コンパートメントを選択 4. 「作成」をクリック スキャン・レシピの設定 Vulnerability

    Scanning Service 設定手順 Copyright © 2025, Oracle and/or its affiliates. 14 3. ホストを選択

  15. スキャンしたい内容(ポートスキャンやエージェント・ベースのスキャン)および実施スケジュールの設定を行います。 Copyright © 2025, Oracle and/or its affiliates. 15 1.

    「名前」を入力 2. 対象コンパートメントを選択 VSS 3. 「パブリックIPポートのスキャン」よりポートの スキャンレベルを選択 5. 「CISベンチマーク・スキャンの有効化」にチェック し、ベンチマークのスキャンレベルを選択 6. 「スケジュール」よりスキャン周期を選択 7. 「スキャン・レシピの作成」をクリック 【補足説明】: ポート・スキャンとエージェント・ベース・スキャンの両方を無効にした場合 レシピに割り当てられたターゲットをスキャンしません。 4. OCIを選択 スキャン・レシピの設定 Vulnerability Scanning Service 設定手順

  16. オプションとして、「ファイル・スキャンの有効化」を選択して、サードパーティ・アプリケーションの脆弱性をスキャンも可能です。 ファイル・スキャンでは、「Log4j」 および 「Spring4Shell」に関する脆弱性をチェックしますので、必要の応じて有効化して下さい。 VSS 1. 「ファイル・スキャンの有効化」をチェック 2. スキャンするフォルダを指定(入力) 3.

    「ファイル・スキャン・スケジュール」より スキャン周期を選択 Copyright © 2025, Oracle and/or its affiliates. 16 スキャン・レシピの設定(補足) Vulnerability Scanning Service 設定手順

  17. スキャン・レシピが作成され、アクティブになった事を確認します。 【補足説明】: こちらの「ターゲットの作成」ボタンからスキャン対象のターゲットを 設定することも可能です。 スキャン・レシピの設定 Vulnerability Scanning Service 設定手順 Copyright

    © 2025, Oracle and/or its affiliates. 17

  18. コンピュート・インスタンス向けのターゲットの作成を行います。 注意: ターゲットを作成する前に、1つのスキャン・レシピを設定する必要があります。 ターゲットの設定 Vulnerability Scanning Service 設定手順 Copyright ©

    2025, Oracle and/or its affiliates. 18 VSS 1. 「ターゲット」をクリック 2. 対象コンパートメントを選択 4. 「作成」をクリック 3. ホストを選択

  19. スキャン対象とするターゲット(コンパートメントまたはコンピュート)に関する情報を設定します。 以上でVulnerability Scanning Serviceでの設定は完了です。 VSS 7. 「ターゲットの作成」をクリック 1. 「名前」を入力 2.

    対象コンパートメントを選択 3. 必要に応じて説明を入力(任意) 4. 前述で作成したレシピを選択 5. 対象コンパートメントを選択 6. スキャン対象とするターゲットを 「コンパートメント」または「コンピュート・インスタンス」より選択 Copyright © 2025, Oracle and/or its affiliates. 19 該当のコンピュート・インスタンスのみを選択する場合 プルダウンより対象コンピュートを選択 VSS ターゲットの設定 Vulnerability Scanning Service 設定手順

  20. スキャン対象に設定したコンピュートのOracle Cloudエージェントを選択して、「脆弱性スキャン」のプラグインを有効化します。 しばらくするとスキャン結果が表示されます。以降は設定したスケジュールの周期で調査を行います。 注意:反映までに数分掛かることがあります。 1. 「Oracle Cloudエージェント」をクリック 2. 脆弱性スキャンを「有効」に変更 【補足説明】:

    スキャンがうまく実施されない場合、「メッセージ」欄にエラー内容 が表示されますので、ご確認下さい。 Copyright © 2025, Oracle and/or its affiliates. 20 ※ 社内検証環境の為、ホスト名などは伏せております コンピュート・インスタンスの脆弱性スキャンを有効化 Vulnerability Scanning Service 設定手順

  21. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定手順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2025, Oracle and/or its affiliates. 21

  22. スキャン結果の見方 脆弱性レポート 脆弱性のスキャン結果をCVE識別番号(CVE ID)の一覧より確認 する際に利用します。CVE IDを選択することで脆弱性のあるコンピュート・ インスタンスを割り出すことが可能です。 📌 CVE IDを基に脆弱性のあるコンピュート・インスタンスを識別

    スキャンレポート ホスト、ポート、コンテナ・イメージの観点でスキャン結果を確認する際に 利用します。該当するコンピュート・インスタンスやコンテナ・イメージに 対して網羅的に脆弱性を確認することが可能です。 📌 脆弱性の識別 📌 オープン・ポートの識別 Vulnerability Scanning Service スキャン結果 Copyright © 2025, Oracle and/or its affiliates. 22 VSS VSS VSS

  23. 脆弱性レポートでは、コンパートメント配下にあるすべてのコンピュータ・インスタンスにて検知された脆弱性の一覧をCVE識別番号 (CVE ID)で表示します。確認したいCVE IDを選択することで、脆弱性のあるコンピュータ・インスタンスの一覧を表示します。 VSS 1. 「脆弱性レポート」をクリック 2. 確認したい「CVE ID」

    をクリック 3. 脆弱性の詳細を確認したい場合 「CVE ID」をクリック 検索したいリスク・レベルで整理する事も可能 デフォルトでは「すべて」が選択済み 23 Copyright © 2025, Oracle and/or its affiliates. ※ 社内検証環境の為、ホスト名などは伏せております 脆弱性レポート Vulnerability Scanning Service スキャン結果

  24. NIST NVDにて、当該脆弱性の内容を把握します。 「Description」で脆弱性の概要、且つ「Severity」のBase Scoreで脆弱性の影響度を確認します。 それらの情報および現状のシ ステム環境を鑑みたうえで、セキュリティ対策の実施を検討します。 【補足説明】: 「脆弱性が悪用される可能性」および「悪用された際の影響度」 などを鑑み、セキュリティ対策することを推奨します。 脆弱性レポート

    Vulnerability Scanning Service スキャン結果 Copyright © 2025, Oracle and/or its affiliates. 24 3. 脆弱性の詳細については、NIST NVD のサイトで確認

  25. スキャン・レポートでは、コンパートメント配下にあるすべてのコンピュータ・インスタンスに関する結果を表示します。スキャン・レポートの トップ画面では、問題として検出された件数を表示します。 VSS 1. 「スキャン・レポート」をクリック 3. 各コンピュータ・インスタンスの脆弱性を確認 したい場合、該当のホスト名をクリック 2. ホストを選択

    VSS 1. 「スキャン・レポート」をクリック 3. 各コンピュータ・インスタンスのオープンポートを 確認したい場合、該当のホスト名をクリック 2. ポートを選択 スキャン・レポート Vulnerability Scanning Service スキャン結果 Copyright © 2025, Oracle and/or its affiliates. 25 ※ 社内検証環境の為、ホスト名などは伏せております

  26. 前ページの画面(ホストを選択)より、該当のコンピュート・インスタンスにおける“オープン・ポート”、“脆弱性”、“CISベンチマーク”の スキャン結果について、詳細に確認することができます。 「オープン・ポート」のスキャン結果 「CISベンチマーク」をスキャン結果 「脆弱性」のスキャン結果 1. 「リソース」より確認したい項目をクリック Copyright © 2025,

    Oracle and/or its affiliates. 26 ※ 社内検証環境の為、ホスト名などは伏せております スキャン・レポート Vulnerability Scanning Service スキャン結果

  27. オープン・ポートでは、該当のコンピュート・インスタンスにてオープンされているTCP/UDPポートの一覧を表示します。 2. TCP/UDPのオープン・ポートを確認 【補足説明】: 不要なポートまたは意図しないポートがオープンされている場合、 該当サービスを停止してポートをクローズすることを推奨します。 Copyright © 2025, Oracle

    and/or its affiliates. 27 ※ 社内検証環境の為、ホスト名などは伏せております 1. 「オープン・ポート」をクリック スキャン・レポート 〜 オープン・ポート 〜 Vulnerability Scanning Service スキャン結果

  28. 脆弱性では、該当のコンピュート・インスタンスにて検知された脆弱性の一覧をCVE識別番号(CVE ID)で表示します。 検出された原因などは、該当のCVE IDにて「問題の説明」や「原因および修正」より確認できます。 Copyright © 2025, Oracle and/or its

    affiliates. 28 ※ 社内検証環境の為、ホスト名などは伏せております 1. 「脆弱性」をクリック 2. 「さらに表示」 をクリック 3. 「詳細の表示」 をクリック スキャン・レポート 〜 脆弱性 〜 Vulnerability Scanning Service スキャン結果

  29. また、確認したいCVE IDを選択し、脆弱性の詳細を確認します。 Copyright © 2025, Oracle and/or its affiliates. 29

    ※ 社内検証環境の為、ホスト名などは伏せております 1. 「脆弱性」をクリック 2. 確認したい「CVE ID」 をクリック 3. 脆弱性の詳細を確認したい場合 「CVE ID」をクリック スキャン・レポート 〜 脆弱性 〜 Vulnerability Scanning Service スキャン結果

  30. NIST NVDにて、当該脆弱性の内容を把握します。 「Description」で脆弱性の概要、且つ「Severity」のBase Scoreで脆弱性の影響度を確認します。 それらの情報および現状のシ ステム環境を鑑みたうえで、セキュリティ対策の実施を検討します。 【補足説明】: 「脆弱性が悪用される可能性」および「悪用された際の影響度」 などを鑑み、セキュリティ対策することを推奨します。 スキャン・レポート

    〜 脆弱性 〜 Vulnerability Scanning Service スキャン結果 Copyright © 2025, Oracle and/or its affiliates. 30 3. 脆弱性の詳細については、NIST NVD のサイトで確認

  31. CIS ベ ン チ マ ー ク で は 、

    CIS ベ ン チ マ ー ク の 「 5. Access, Authentication and Authorization 」 に あ る 「 SSH Server Configuration」の定義に対する遵守結果を表示します。 【補足説明】: スキャン結果の「失敗」については、ご利用のシステム環境を鑑み セキュリティ設定が必要と考えられる項目に対して、設定値を修正 することを推奨します。 1. スキャン結果(合格/失敗)を確認 2. スキャン結果を修正する場合、 CISベンチマークを参考に修正して下さい スキャン・レポート 〜 CISベンチマーク 〜 Vulnerability Scanning Service スキャン結果 Copyright © 2025, Oracle and/or its affiliates. 31

  32. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定手順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2025, Oracle and/or its affiliates. 32

  33. 33 Copyright © 2025, Oracle and/or its affiliates. Cloud Guardを有効化している場合、VSSのスキャン結果をCloud

    Guardで確認することができます。 Cloud Guardの構成ディテクタ・レシピにてVSSのスキャン結果が表示される設定になっていることを確認します。 ※ Cloud Guardの有効化および設定・操作方法については、「参考資料:Cloud Guard設定・操作ガイド」に記載しているサイトをご確認下さい ※ 社内検証環境の為、ホスト名などは伏せております 構成ディテクタ・レシピを確認 Cloud Guardとの連携 2. ステータスが「有効」になっていることを確認。 無効の場合は、有効に変更。 1. ディテクタ・ルールでフィルタに「scan」と入力し、VSSに関するディテクタ・ルールを 表示させる ” Scanned host has vulnerabilities ” ” Scanned host has open ports ” “ Scanned container image has vulnerabilities” 【補足説明】: デフォルトは、「有効」で設定されております。

  34. 34 Copyright © 2025, Oracle and/or its affiliates. Cloud Guardでは、VSSのスキャン結果(例:コンピュート・インスタンスを対象)である「Scanned

    host has vulnerabilities」 および「Scanned host has open ports」を確認できます。 ※ 社内検証環境の為、ホスト名などは伏せております 【補足説明】: コンピュート・インスタンスに関する問題は、以下の検知内容となります。 ✓ Scanned host has vulnerabilities: 脆弱性レポート ✓ Scanned host has open ports : オープン・ポート VSSのスキャン結果を確認 Cloud Guardとの連携 1. 「問題」をクリック VSS 2. 対象コンパートメントを選択 3. フィルタで「ラベル」を選択し、 「VSS」と入力。 4. 確認したいスキャン結果をクリック

  35. Scanned host has open portsでは、該当のコンピュート・インスタンスにて、オープンされているTCP/UDPポート番号を表示します。 ポート番号に紐づくサービス名を確認したい場合、VSSの管理画面より詳細結果を確認します。 Scanned host has open

    ports(オープン・ポート) Cloud Guardとの連携 Copyright © 2025, Oracle and/or its affiliates. 35 1. TCP/UDPのオープン・ポートを確認

  36. Scanned host has vulnerabilitiesでは、該当のコンピュート・インスタンスにて検知された脆弱性をCVE IDで表示します。 CVE IDの脆弱性を確認したい場合、VSSの管理画面より詳細結果を確認します。 Scanned host has

    vulnerabilities(脆弱性レポート) Cloud Guardとの連携 Copyright © 2025, Oracle and/or its affiliates. 36 1. 検知されたCVE情報を確認

  37. 【Cloud Guard設定・操作ガイド 〜 目次 〜】 Cloud Guard設定・操作ガイド 【Speaker Deck】 まとめ

    Copyright © 2025, Oracle and/or its affiliates. 37 URL: https://speakerdeck.com/oracle4engineer/cloud-guardshe-ding-cao-zuo-gaido Cloud Guard設定手順 Cloud Guard検出結果と対応

  38. 1. Vulnerability Scanning Service 概要 2. Vulnerability Scanning Service 設定手順

    📌 IAMポリシーの設定例 📌 スキャン・レシピの作成 📌 ターゲットの作成 📌 コンピュート・インスタンスの脆弱性スキャンを有効化 3. Vulnerability Scanning Service スキャン結果 📌 脆弱性レポート 📌 スキャン・レポート 4. Cloud Guardとの連携 5. まとめ Agenda Copyright © 2025, Oracle and/or its affiliates. 38

  39. Vulnerability Scanning Serviceと3rd Party Scanning Toolとの比較 項目 Vulnerability Scanning Service

    3rd Party Scanning Tool 概要 OCIで展開されているコンピュート・インスタンスやコンテナ・イメージに対して、 オラクルで事前定義したチェック項目を基に、潜在的な脆弱性がないかを 定期的にスキャンする。 マルチシステム環境に対して、事前定義されたチェック項目をユーザーで チューニングし、潜在的な脆弱性がないかスキャンする。 代表的なセルフスキャンツールとして、Nessus※1、Nmap※2などがあります。 検知項目 ✓ オープンされているTCP/UDPポート ✓ 脆弱性評価 ✓ CISベンチマーク評価(SSH Server Configuration) ✓ オープンされているTCP/UDPポート ✓ 脆弱性評価 ✓ コンフィグレーションアセスメント ✓ システムアカウントに関するパスワード設定 等 特徴 事前定義されたスキャン項目のチューニングを殆ど必要とせずにスキャンできる 為、専門的な知識と経験がなくてもコンピュート・インスタンスに対するセキュリ ティリスクを可視化することができる。 また、Cloud Guardと併用することで、俯瞰的にOCIのセキュリティリスクを 把 握することが可能である。 事前定義されたスキャン項目が多く、且つ柔軟なチューニングにてスキャン する為、網羅的にセキュリティリスクを可視化することができる。脆弱性診断 サービスを提供するセキュリティベンダーで利用されていることも多いが、ツール の利用には専門的な知識と経験が必要となる。 費用 無償 有償 (無償ツールもあり) まとめ Copyright © 2025, Oracle and/or its affiliates. 39 ※1 https://www.tenable.com/products/nessus ※2 https://nmap.org

  40. 利用ユースケース 【ユースケース ①】: セキュリティ部門による定期的な外部セキュリティベンダーのプラット フォーム診断は実施されているが、情報システム部門として能動的に 潜在的な脆弱点がコンピュート・インスタンスに存在するかを把握する為、 VSSにてセルフチェックを実施する。 【効果】: OCIに展開するコンピュート・インスタンスの脆弱性を可視化することで “迅速な脆弱性管理(例:パッチ適用の可否)”などが可能となり、

    脆弱性の放置期間が短縮されたことで、セキュリティリスクの低減および プラットフォーム診断結果におけるセキュリティ部門からの指摘軽減へと 繋がった。 【対象システム】: 外部公開しているコンピュート・インスタンス 【担当部門】: 情報システム部門(インフラ担当) 【ユースケース ②】: OCIのセキュリティリスクを可視化する為、クラウドセキュリティポスチャー 管理(CSPM)として機能するCloud Guardにて設定不備および 不正アクティビティを可視化、且つVSSにてコンピュート・インスタンスの 脆弱点を把握し、セキュアなクラウド環境を実現する。 【効果】: OCIで展開されているデータベースやコンピュート・インスタンス、ネット ワーク関連、等の設定不備および不正アクティビティ、且つ脆弱点を 可視化することで、“俯瞰的にOCIのセキュリティリスクが把握でき、 迅速にセキュリティ対策を行うことが可能”となった。 【対象システム】: データベース、コンピュート・インスタンス、ネットワーク関連 【担当部門】: セキュリティ部門(CSIRT担当) まとめ Copyright © 2025, Oracle and/or its affiliates. 40

  41. 参考サイト まとめ Copyright © 2025, Oracle and/or its affiliates. 41

    OCIドキュメント 脆弱性スキャン https://docs.oracle.com/ja-jp/iaas/Content/scanning/home.htm (日本語サイト) https://docs.oracle.com/en-us/iaas/Content/scanning/home.htm (英語サイト) ホストを保護するための Oracle Cloud Infrastructureスキャンの有効化 https://docs.oracle.com/ja/solutions/use-oci-vs-scan-host/index.html#GUID- F74EEDEA-768A-4565-94F8-6C5044BEE977 Qualys OCI Vulnerability Scanning Service BYOL https://docs.qualys.com/en/integration/oci-onboarding/get_started/get_started.htm Cloud Guard設定・操作ガイド https://speakerdeck.com/oracle4engineer/cloud-guardshe-ding-cao-zuo-gaido
  42. None