こんにちは!Y.Tです。
先週、ある企業様向けに、Rapid7社の製品勉強会を実施しました。
今回は勉強会で利用した資料をもとに、記事を書きたいと思います。
資料はスライドシェアにございますので、是非ご覧ください。
from 株式会社テリロジー コンサルティング&ソリューション技術統括部
今回の勉強会では、Rapid7社の以下の製品についての構成や特徴をご紹介しました。
- 脆弱性管理ツール
- InsightVM
- InsightAppSec
- ペネトレーションテストツール
- Metasploit
脆弱性管理ツール
InsightVMとInsightAppSecは脆弱性管理ツールです。
脆弱性管理ツールは主に以下のように動作します。
端末に対してスキャナーでスキャンを実施し、バージョン情報を収集
↓
収集したバージョン情報を脆弱性データベースと照合し、脆弱性を発見
↓
発見した脆弱性のリスクを付与して表示
メーカーによって、脆弱性データベースが異なるため、発見可能な脆弱性数や 脆弱性のリスクスコアが異なります。
InsightVM
InsightVMはOSやプラットフォームの脆弱性管理ツールのため、対象機器はサーバやネットワーク機器です。また、AWSとMicrosoft Azureへのスキャンも可能です。
InsightVMの3つの特徴
- 脆弱性の優先順位付け:
攻撃の調査結果をもとに脆弱性を評価しているため、より正確な評価が可能です。また、種類以上のテンプレートレポートがあり、日本語で発行することができます。 - 対象スキャン種別の数:
サーバだけでなく、ネットワーク機器の脆弱性も把握可能です。 - 情報分析:
インターネット全体を対象にスキャンを実施する、また、世界中に わざと脆弱なサーバを設置するなどして攻撃の分析を行っています。収集した情報をまとめたレポートも公開されており、Rapid7の公式HPからアクセス可能です。
構成
スキャン設定やスキャン結果を確認する「管理コンソール」は、 オンプレミス環境、もしくはAWSなどのクラウド環境上に構築します。
機能の一部がSaaSとなっており、スキャンしたデータを対象に条件を指定し検索するときなどは、InsightPlatformと呼ばれるクラウド機能との連携が必要になります。
また、スキャナーである「スキャンエンジン」も、オンプレミス環境、もしくはAWS などのクラウド環境上に構築します。
AWS環境やMicrosoft Azure環境をスキャンする場合、スキャンエンジンをクラウド環境上に構築する必要があります。
※グローバルIPアドレスを付与した公開サーバについては、オンプレミスのスキャンエンジンからもスキャン可能
スキャン対象にエージェント(InsightAgent)をインストールし、スキャンを することも可能です。
InsightAppSec
InsightAppSecはWebアプリケーションの脆弱性管理ツールであり、ECサイトやWebアプリケーションを対象としています。
InsightAppSecの3つの特徴
- 柔軟な課金体系:
Webページ単位でなく、FQDN単位での課金が可能です。 - 対応Webページの多さ:
最新技術/モダンアプリケーション(Ajax、REST/JSON、SPA等)に対応しています。 - 豊富な脆弱性チェックと安全な検査方法:
OWASP Top 10だけでなく、95種類 以上の攻撃とベストプラクティスのチェックが可能です。また、SQLインジェクションの検査についても、検査データ注入や書き換えを行わない安全な検査が可能です。SQLインジェクションやXSS、CSRFなどの攻撃が可能です。また、攻撃のリプレイ機能があり、検出された脆弱性修正後、特定の攻撃を実施し、修正後にすぐにテストすることもできます。
構成
InsightAppSecはSaaS製品です。
また、スキャナーもクラウド上にあるスキャナーを利用します。
インターネット環境からアクセスできないWebアプリケーションの脆弱性スキャンを実施する場合は、オンプレミス環境にスキャナーを構築することも可能です。
また、スキャナーもクラウド上にあるスキャナーを利用します。
ペネトレーションテストツール
ペネトレーションテストツールとは、機器に対して実際に侵入が可能かどうか、 確認できるツールです。
Metasploit
Metasploitはペネトレーションテストツールです。
攻撃には以下のようなフェーズがあります。
1の初期段階の侵入調査では、侵入できそうな脆弱性がないかスキャンを実施するなど、入り口を調査します。
Metasploitでスキャンをすることも可能ですが、InsightVMや他の脆弱性管理ツールのスキャン結果を読み込むことも可能です。
2以降のエクスプロイト(端末への侵入)やペイロード(攻撃)の実行はMetasploitから実施することができます。
エクスプロイト、ペイロードのどちらも、成功確率や安全性などをもとに5段階で評価されています。
また、Metasploitには以下の2種類あります。
- Metasploit Pro・・・Rapid7で販売している商品であり、GUIの商用版
- Metasploit Framework・・・CUIのOSS版
Metasploit Proの3つの特徴
- 知名度の高さ:
Metasploitはペネトレーションテストツールの中で有名な製品で、大きなコミュニティが日々攻撃方法をアップデートしています。ディファクトスタンダードのペネトレーションテストツールであり、豊富なExploitモジュールやMetepreterなどの強力なペイロードが用意されています。 - 実践的なペネトレーションテスト:
実際のサイバー犯罪者も使用するほどのスペックがあり、外部から実際に攻撃が可能か把握できることで、より実践的な テストが可能です。 - 脆弱性管理製品との連携:
資産や脆弱性情報の収集には、InsightVMなど、他の脆弱性管理製品のスキャン結果をインポートすることが可能です。
構成
Metasploit Proはオンプレミス製品です。
Metasploit Proを端末にインストールする際は、攻撃ツールと認識されてしまうため、各種AVなどの無効化が必要になります。
まとめ
長くなってしまいましたが、さっくりとRapid7社の3製品をご紹介しました。
これからは各製品の細かい機能についても記事にしていきたいと思います。
お読みいただき、ありがとうございました!
