最近暑すぎて食欲があまりわきませんが、皆さんはいかがでしょうか。
どうもC.S.事業部のK.M.です。
脆弱性管理と聞くと、既に実施されている企業/ご担当者様は多いのではないでしょうか。
その一方で、脆弱性の可視化のその後までは。。という方もまた多いと思います。
本記事は脆弱性管理をしていく中で、より具体的にどのようにセキュリティを高めていけばいいか、既に行っている脆弱性管理をどう生かしていけばいいかについてRapid7の脆弱性管理ツールである「Nexpose」とペネトレーションテストツールの「Metasploit Pro」を用いたより強固な脆弱性管理を実現する方法について簡単にお話します。
そもそも脆弱性管理って何?診断との違いは?という方は過去に違いを解説してますのでまずはそちらをご覧ください。
URL:https://cloudsolution.terilogy.com/blog/va-vs-vrm
まずは簡単に、各ツールの概要を紹介いたします。
Nexpose(InsightVM)
脆弱性リスク管理ツールです。別の記事ではInsightVMを紹介していますが、一個前の製品であるNexposeもほぼ同様の機能を持っています。
- 機能概要
- 脆弱性検知機能
NW機器、クライアント、サーバー(オンプレ/仮想サーバー)含むプラットフォームをスキャンし、脆弱性を検出します。 - 優先順位付け
検出した脆弱性の対応優先度をCVSSのみならず、「実際に攻撃に使用されているか」や「資産の重要度」なども加味し、メーカー独自のスコアリング(1-1000)を行います。 - レポート機能
PCIなどのコンプライアンスの準拠度合いを示すレポートや、検出した脆弱性の詳細情報まで、様々な形のレポートを出力することが可能です。
- 脆弱性検知機能
- InsightVMとの違い
- 構成面
InsightVMはSaaS型の脆弱性リスク管理ツールで、Nexposeの後継にあたります。
その一方、Nexposeはオンプレの製品になっており、検出された脆弱性情報をクラウドに送信することを許可しないような環境にてご使用いただくことが多いです。 - 機能面
改善プロジェクト※1といった脆弱性の修正における進捗管理の機能がありません。
※担当者ごとに対応すべき脆弱性を分けることができ、期限の付与により進捗の管理をすることができる機能。
- 構成面
Metasploit Pro
オープンソースで無償で提供されている世界で最も認知度のあるペネトレーションテストツール、「Metasploit Framework」の有償版です。
- 機能概要
- ペネトレーションテスト機能
疑似サイバー攻撃をすることで、実際に侵入可能かを確認することができます。
それにより、現在のセキュリティ対策の有効性や妥当性を評価することができます。 - レポート機能
検出結果のレポートからPCIDSS要件に満たしているかどうかなどのコンプライアンス結果を表示することができます。 - フィッシングキャンペーン機能
標的型攻撃の訓練が可能です。
- ペネトレーションテスト機能
- GUI上で簡略された操作が可能(FrameworkはCLI)
操作をするための知識を身に着ける必要がなく、感覚的に操作が可能になります。 - 攻撃モジュールの安全性をRapid7が評価
ペネトレーションテストで使用する攻撃モジュールをあらかじめ本番環境に使用しても安全なものなのかをメーカーにて安全性を検証し、ランク別に表示します。 - レポート作成機能
一旦各ツールの概要は以上となります。ここからはどのように2つのツールを使用してより強固なセキュリティ対策を行うのかを簡単に解説します。
結論からお伝えすると、上記2つのツールを使用し、脆弱性の検出と検証を継続的に行っていくサイクルのことを指します。
どのようにやるのか
実はMetasploit ProとNexpose(InsightVM)は連携することができます。
※なお、Rapid7社としてはClosed-Loopと称しています。
- Closed-Loopの流れ
- 脆弱性検出(Nexpose/InsightVM)
NW機器やサーバーに存在する脆弱性を検知/検出し、社内環境の状況を可視化。 - エクスプロイト検証(Metasploit Pro)
Nexpose/InsightVMで検出した脆弱性データをMetasploit Proにインポートすることで、該当する脆弱性に対しその環境へ実際に侵入可能かどうかを自動で侵入テストを行います。これにより、対処すべき脆弱性への優先順位付けに活かすことができます。 - 修復及び具体的な優先順位付け(Nexpose/InsightVM)
Metasploit Proのテスト結果をNexpose/InsightVMに連携し、侵入結果を加味した脆弱性対処の優先順位付けを行います。その後、パッチ当てやアップデートなどの修復を行っていく流れになります。 - 修復後の確認(Metasploit Pro)
修復を行った後、問題が解消されているかの検証や導入したセキュリティツールが正常に動作しているかの確認を再度ペンテストを行い確認をします。
- 脆弱性検出(Nexpose/InsightVM)
このClosed-Loopを活用することで、企業の脆弱性リスク管理の運用をより強固にすることが可能になります。
まとめ
ここまで長々と書き起こしてみましたが、まとめとしては以下の内容を覚えていただけたら筆者としては喜ばしい限りです。
- Nexpose/InsightVMとMetasploit Proの連携
- Closed-Loopを活用することによる脆弱性リスク管理の強化
- Metasploit ProとFrameworkとの違い
ここまでの長文を読んでいただきありがとうございました。
もし今回の内容について興味を持った方がいましたらお気軽に連絡ください。
- カテゴリ:
- Rapid7
