FutureVulsのご紹介 第09回脆弱性対応勉強会 脆弱性管理製品を知る Future株式会社 井上

本セッションに対する注意事項 • 本 セ ッ シ ョ ン で 発 言 す る 内 容 に つ い は 、 個 人 の 意 見 で あ り 、 所 属 す る 会 社 の 意 見 と は 異 な る 場 合 が 多 々 あ り ま す 。 • 製 品 の 紹 介 で は な く 、 製 品 の 思 想 や 脆 弱 性 対 応 に 関 す る 考 え 方 の 話 に 重 点 を 置 く た め 、 デ モ が 少 な い / 時 間 よ り 早 く 終 わ る 可 能 性 が あ り ま す 。 • 発 表 者 が オ ン ラ イ ン 発 表 に 慣 れ て い な い 為 、 お 見 苦 し い 点 が あ る と 思 い ま す が 、 ご 了 承 く だ さ い 。

本日のアジェンダ FutureVulsについて説明をしつつ、 • どのように使われることが想定されているか • 脆弱性はどのような対応をしたほうがよいと考えているか などをお話しします。 1. FutureVulsの思想 2. FutureVulsの概要 A) 導入方法 B) 運用方法 C) 脆弱性管理方法 D) 対応ステータス管理方法 3. デモンストレーション

お前誰よ 活動 • 脆弱性対応勉強会 開催 • Vuls祭りの運営 • IoTSecJPの運営 • NICTサイバーコロッセオ講師 • 各種勉強会参加や登壇 項目 値 氏名 井上圭 所属 フューチャー株式会社; CSIG(サイバーセキュリティ イノベーション グループ); シニアコンサルタント 本件問合せ先 k.inoue.xz@future.co.jp 趣味 • 四川麻婆豆腐の設計構築と運用 • 温泉、サウナ、水風呂 • レース(四輪/二輪) • ツーリング • 3Dプリンタで何か作る

今回は企業セミナーではない「有志の勉強会」であるため、製品説明では なく、製品紹介をしつつ「脆弱性対応をどう考えるか」についてを中心に お話しします。 いつもは1時間以上かかって話す内容なので、かなり省略があります。

1. FutureVulsの思想

「思想」の前に、脆弱性管理では どんなことを考える/気を付ける 必要 があるのかを再確認してみましょう。

脆弱性管理対象と、対応 脆弱性 ルータ等 ベンダ提供 ファームウェア ベンダごとの更 新プログラム OS/ミドルウェ ア パッケージでの 導入 ベンダごとの更 新プログラム 手動で導入 手動での更新 アプリケーショ ン プログラム セキュアコー ディング 依存ライブラリ ライブラリバー ジョン管理 WEBアプリケー ション 脆弱性診断 システムを利用する にあたり、脆弱性を 管理する対象はいろ いろあります。 また、脆弱性を発見 するための手法や、 更新プログラムの配 布方法も多数ありま す。

脆弱性 ルータ等 ベンダ提供 ファームウェア ベンダごとの更 新プログラム OS/ミドルウェ ア パッケージでの 導入 ベンダごとの更 新プログラム 手動で導入 手動での更新 アプリケーショ ン プログラム セキュアコー ディング 依存ライブラリ ライブラリバー ジョン管理 WEBアプリケー ション 脆弱性診断 毎日、自動で確認可能 特定のタイミングで実施 - 四半期毎、リリース時 毎日、自動で確認可能 実装時に実施

脆弱性対応への対応 ソフトウェア(パッケージ)の脆弱性に対応するには、以下のフローを回す必要があ ると考えています。 • 情報の収集 • 脆弱性のあるソフトウェアの情報を収集し、脆弱性を認知 • 検出 • 該当ソフトウェアが自組織に含まれているかの確認 • 影響調査 • 該当ソフトウェアが、自組織にどのような影響を及ぼすかの調査 • 対策検討 • アップデートが必要なのか、回避策の設定で回避が可能なのか、WAFなどで一時的に対 策を行うのか、等の検討 • パッチの適用 • 適用テストを必要に応じて実施したのち、実機に更新版プログラムを適用する。 • 状況の記録 • 脆弱性の対応履歴を残し、回避策を実施した場合の設定などを記録する。 情報収 集 検出 調査 対策検 討 適用 記録

脆弱性情報と対応のタイミング 一般論として、右側に 行くほどリスクは高く なり、パッチ適用によ りリスクは除去される と考えられます。 また早めに情報を得よ うとするほど、コスト が高くなります。 どのタイミングで脆弱 性を認識して、対応を 始めていますか？

すべての脆弱性に対応するべき？ 脆弱性検知ツールを使うと大量の残存脆弱性が検出される場合が多いです。 • 「すべてに対応しなければいけない」という強迫感 • 「多すぎてやる気が失われる」という疲労感 • 「多いから”影響なし”として扱う」という本末転倒感 • 最初から「完璧にやろう」として挫折 それらを避けるために、リスクベースで「システムに影響のあるものを選 択」「優先した対応する」必要があります。 • CVSS Base Scoreが高いから必須 = 本当に影響がある？ • 同スコアが8.0以上はすべて対応 = その基準は大丈夫？ • CVSS評価は、リスクを表しているわけではありません。 リスクベースで判断、優先順位を決める（= トリアージ）することが重要 です。 リスク評価として、 - 現状評価基準 - 環境評価基準 は、あるが…

すべて「運用者」で対応するのか？ 今までの運用では、「運用者にお任せ」の場合が多かったと思います。 • 運用者や情報システム部担当者が、脆弱性情報を探したり、更新プ ログラムを探して適用していた • 本来の「運用」以外の部分の負荷が高くなっていた 近年では、セキュリティ部分はCSIRTが担い、運用者は運用に集中で きる環境が増えています。 • セキュリティインシデント対応の一環として脆弱性情報を収集した りする • 脆弱性情報や発生し得る影響には詳しいが、実運用しているシステ ムに該当するか等は、運用者ほどは分からない 異なる領域を担当するチームが、協力して対応することが必要です。

FutureVulsの思想 以上のことを考慮し、FutureVulsでは以下のような思想で作られ ています。 • パッケージ及びソフトウェアのライブラリ等についてカバー • 毎日、残存する脆弱性のチェックを行える • 脆弱性の「認知」から「対応完了」までをカバー • CSIRTと運用者が、役割分担しながら協力して対処できる • 自組織への影響を判断するための情報を提供する • 検出後に対応判断がつかない場合は、相談ができる • Futueのセキュリティコンサルティングと連携したデリバリも 可能

FutureVulsでカバーされる範囲 • OSSのVulsは検出までで「運用に必要な管理機能」が 不足していますが、FutureVulsはこれを補います。 • 脆弱性情報を自動で収集し、「適切に」管理対象に該 当するかを検出します。

脆弱性 ルータ等 ベンダ提供 ファームウェア ベンダごとの更 新プログラム OS/ミドルウェ ア パッケージでの 導入 ベンダごとの更 新プログラム 手動で導入 手動での更新 アプリケーショ ン プログラム セキュアコー ディング 依存ライブラリ ライブラリバー ジョン管理 WEBアプリケー ション 脆弱性診断 CPEマッチング CPEマッチング OVALマッチング その他 GitHub Security Alerts連携

2. FutureVulsの概要

2.A. 導入方法 対象により 2つの方法があります。 • エージェントを導入する（ローカルスキャン） • ワンライナーでインストール。クラウドへ直接送る • 監視用ホストを用意し、SSHアクセスさせる（リモートスキャン） • 監視用ホストからSSHでスキャンして、クラウドへ送る ローカルスキャン リモートスキャン SSH 結果のアップ ロード

2.B. 運用方法 • 検出 • 毎日、脆弱性スキャンを実施します • デフォルトで 1日1回 • OVAL情報を基に、各OSに適切な脆弱性をマッチングします • バックポートの考慮がされている • 画面上に、残存する脆弱性とそれに関連する情報を表示します • 対象を利用したプロセスが存在するか、ポートを開いているか、等 • 任意の基準設定で脆弱性の重要度付け • CVE番号を横串に、脆弱性を確認します。 • 対応管理 • アップデートが終われば自動で適用済みになります（適用漏れを防 ぐ） • 回避策を実施した場合は、その記録を残すことができます。

2.C. 脆弱性管理方法 • 表形式の一覧を もとに、各種情 報から優先度判 定（トリアー ジ）を行います。 • 優先度の高いも のから、対応方 法を検討しま トリアージ • 対応優先度が高いものを見つける • 判断のための情報を提供 対策検討 • アップデートを行うか、回避策を行いか、等を検討する • 判断のための情報を提供 対策実施 • アップデートや回避策を実施する • アップデートコマンド提供や、AWSの場合SSMでのアップデートが実施可能 記録 • 対策を行った記録を残す • 適用後の再起動忘れ注意喚起や、適用状態を記録する

トリアージと対策検討 トリアージ及び対策検討の為、以下の情報を提供します。 • CVSS BaseScore及び深刻度（NVD, Redhat, Microsoft） • CVSS Vector • ネットワークから攻撃可能（NVD, Redhat） • 権限なしで攻撃可能（NVD, Redhat） • 脆弱性の状況 • パッチ提供 有無 • 緩和策/回避策 有無 • OWASP TOP10であるか • 周辺状況 • プロセス実行 有無 • 攻撃コード 有無 • 警戒情報 有無（US-CERT, JPCERT/C.C.） • DeepSecurityステータス

対策実施 対策実施のために、以下の情報を提供します。 • アップデート用のコマンドを提供します • パッケージマネージャを使った方法を提示します(apt-get 等) • Ansible playbookもダウンロード可能です • AWSの場合、SSMを用いたリモートでのアップデートも可能です また、記録として以下を提供します。 • チケットとしてコメントを残せます • 複数のグループをまたいで、コメントをすることができます

2.D. 対応ステータス管理方法 各ホストで、CVEの数だけチケットが生成されます。 • CVE単位で対応する場合、各サーバごとにチケットを操作しなくと も、CVE単位で処理が可能です。 • チケットには、担当者やコメントを残すことができます • アップデートが終わると、自動でクローズされます。 • 回避策で対応した場合は、手動でクローズする必要があります。 Status - new - investigating(調査中) - ongoing - workaround, patch_applied

3. デモンストレーション

以上です！