たまにはアッサリ目に記事を書こうかと。
セキュリティ・ソリューションのチームに頼んでスライド作ってもらいました。
今回は脆弱性のスキャンと管理が行えるRapid7社製品「InsightVM」紹介です。スライドをアップしましたので、見て頂けますと幸いです。
前半は一般的な脆弱性スキャンについて、後半でInsightVMの特長について説明になってます。我々の分類でいうところの「プラットフォーム脆弱性診断」を担う製品ですね。
脆弱性スキャナは文字どおり、サーバやネットワーク機器の脆弱性をスキャンして検出するツールです。その役割を簡単に纏めると以下のようになります。
- 資産のOS/ソフトウェアとバージョンを把握
- CVSSなどの脆弱性情報をもとに当該のOS/ソフトウェアに脆弱性がないかを確認
- 設定に起因する脆弱性については、実際の通信や設定の確認により有無を判定
CVSSについては簡単な説明資料を後日アップしようと思っています。ドラフトをレビューしましたが、そのままではちょっと情報が不足しており、いろいろと加筆・修正項目があるので・・・しばしお待ちください。
脆弱性のスキャンの方法はいくつかあって、大別すると以下のようになります。それぞれにメリット・デメリットがありますので詳しくはスライドをご参照いただければと思います。
- ポートスキャン
- 認証スキャン
- エージェントスキャン
↑↑↑↑(ここまで)↑↑↑↑
以下、文字数稼ぎのチラシの裏みたいな話。
セキュリティ・ソリューションのチームには文責なし。
まあ、クライアントであろうとサーバであろうと、脆弱性スキャナを社内に導入して定期的に脆弱性をスキャンされたほうがよいかと思います。サーバの数にもよりますが、数万件という恐ろしい数の脆弱性が検出された例も幾度か見ています。
その脆弱性(のあるノード)のどこから優先的に対処するのかの判断は、一般的にはCVSSスコアやCVSSベクタによって決めるのでしょうが、当社が推奨する、RedSeal(赤汁)のようなシステムと統合したリスク管理を実施して、直接、または踏み台経由の攻撃到達性を考慮した優先順位づけをすべきだと思います。
数万台のクライアントPCの脆弱性を管理したいなんてお話がありますと当社はすごく助かります 笑、自社運用が難しいと感じるお客様には、まずはサービスの利用をお勧めいたします。
営業さんはあまりRapid7とか、RadSealを紹介するのが得意ではないようなので(実際、そういう話があった)、お引き合い等ございましたら、直接、技術統括部のほうにご連絡いただいても構いません、というか、歓迎いたします。
でも、CriteriaのないワケワカランPoCとかはイヤーンということで。
商魂剥き出しなわけですが、俺たちだって打席に立ちたいんだよ!!
頑張ってるゥゥゥゥゥゥゥゥゥ!!
とか言われたいわけではないけど。
- カテゴリ:
