こんにちは。テリロジーの「T」です。
今回は脆弱性管理ツールであるRapid7社 InsightVMのスキャン内容を定義する、スキャンテンプレートについてご紹介します。
InsightVMの製品説明については以下をご確認ください。
InsightVMでは、脆弱性スキャンを行う際にサイトという設定を作成して、
"誰に"、"何を"、”いつ”、"どこから"、行うのか指定します。
サイトの設定には以下が含まれます。
- 誰に
:脆弱性スキャンを行う対象アセットを指定 - 何を
:スキャンする内容を指定
(※今回ご紹介するスキャンテンプレートはここ) - いつ
:スキャンするタイミング(即実行、繰り返し、スケジュールなど) - どこから
:スキャンを行うスキャンエンジンを選択
今回はスキャンをする内容を定義する、スキャンテンプレートについて
ご紹介いたします。
スキャンテンプレートの設定
InsightVMでは20個のスキャンテンプレートが、デフォルトで利用できるように
なっています。
デフォルトで用意されたスキャンテンプレートは、カスタマイズして利用すること
も可能ですし、任意のスキャンテンプレートを作成することも可能です。
なお、スキャンテンプレートでは、以下の設定が可能です。
- チェックタイプ
テンプレートに含めたいチェックタイプを指定
"アセットの発見"、"脆弱性のチェック"、"ウェブスパイダー"、”ポシリー” - アセット発見のパラメータ
対象アセットを検出する際の情報収集方法を指定 - サービス発見のパラメータ
対象アセットに対して、サービスの検出を行う際に対象となるTCP/UDPポート番号を指定 - 発見パフォーマンス
アセット発見やサービス発見の試行回数やタイムアウトなどの設定 - チェック対象の脆弱性
InsightVMに登録された脆弱性チェック項目からどの脆弱性チェックを行うか指定 - ファイル検索
スキャン時に指定したターゲットファイルを対象アセットから検出するか指定 - 迷惑メールリレー
スパムに悪用されるオープンメールリレーの脆弱性をチェックするための設定 - その他
データベースサーバ、メールサーバ、CVSサーバ、DHCPサーバ、TELNET
サーバの脆弱性をチェックするための設定 - ウェブスパイダー
Webサイトの脆弱性をチェックするための設定を指定
※InsightVMは、ウェブスパイダーというWebサイトの簡易的な脆弱性スキャン
機能を持っています。Webサイトの詳細な脆弱性スキャンを行いたい場合は、
別途InsightAppSecというWebアプリケーション専用の脆弱性スキャンツール
の利用をお勧めいたします。 - ポリシー
InsightVMでは、以下のポリシーについてコンプライアンスやアカウント
ポリシーのチェックを行うことが可能です。
FDCC、CIS、DISASTIGS、USGCB、ORACLE、LOTUS DOMINO、
Windowsグループポリシー、CIFS/SMBアカウント、IBM AS/400、
UNIXなどがございます。
デフォルトで利用可能なスキャンテンプレートは以下になります。
主なスキャンテンプレート
※〇は特によく利用されるテンプレートとなります
【機器発見(脆弱性検査なし)】
*Discovery scan〇
機器を発見し、ホスト名とOSを識別できます。
*Discovery scan (aggressive)
タイムアウト時間が短いこと、スキャンエンジンごとにスキャンされる
アセット数が多く設定されていることから、Discovery scanに比べて高速に
ホスト名とOSの識別が可能です。
【脆弱性発見】
*Exhaustive
パッチ/ホットフィックスの検査、ポリシーコンプライアンスの評価、
アプリケーション層の監査など、徹底的にスキャンして検査するテンプレート
です。スキャンに時間がかかるため、特に重要な資産に絞りスキャンを実施する
ケースが多いです。
*Full audit〇
パッチ/ホットフィックスの検査、アプリケーション層の監査を行います。
ポリシーコンプライアンスの評価は実施しないため、Exhaustiveよりもスキャン
にかかる時間は短くなります。
*Full audit without Web Spider〇
デフォルトで選択されているテンプレートです。パッチ/ホットフィックスの
検査を行いますが、ポリシーコンプライアンスの評価やアプリケーション層の
監査はしないテンプレートになります。
*Web audit
公開されているWebサーバに対してスキャンを実施します。
アプリケーションサーバー、ASP、CGIスクリプトが適切に公開されているか
確認することができます。検出率はWebスキャン専用の製品とは比べ劣ります
ので、上記でもご紹介したRapid7社のInsightAppSecとよばれる
WebAppスキャン専用のツールを用いて検査されることをお勧めします!
ポリシー系のスキャンテンプレート
*PCI ASV external audit
PCIDSSのスキャンベンダーが利用する外部スキャン用のテンプレートです。
*PCI internal audit
Payment Card Industry(PCI)データセキュリティ基準(DSS)の要件に
従って脆弱性を発見するテンプレートです。
*CIS
Center for Internet Security(CIS)ベンチマークへの準拠を検証するための
テンプレートです。アプリケーション層の監査は行いますが、脆弱性の検査は
しません。
その他、以下のポリシーに準拠しているか確認可能なスキャンができます。
DISAFDCC、HIPAA compliance、SCADA audit、Sarbanes-Oxley (SOX) compliance、USGCB
その他のスキャンテンプレート
*Denial of service
疑似的なDoS攻撃が実施可能であり、スキャン中にどのくらいの負荷が
かかるのか確認することでDoS攻撃への対策が可能です。
*Linux RPMs
LinuxOSを利用している機器に対し、パッチが正しくインストール
されているか確認することができます。
*Microsoft hotfix
WindowsOSを利用している機器に対し、ホットフィックスとサービスパックが
正しくインストールされているか確認することができます。
その他のテンプレートや、テンプレートの詳細は以下からご確認いただけます。
参考:Rapid7社公式ヘルプページ
「Scan templates appendix」
環境に合わせてスキャンテンプレートを選択し、スキャンを実施し、
よりセキュアな環境を目指していきましょう!
以上、スキャンテンプレートのご紹介でした!
