LoginSignup
76
80

More than 5 years have passed since last update.

@chroju

脆弱性情報の収集と運用プラクティス検討

Last updated at Posted at 2015-08-18

やりたいこと

  • 脆弱性情報をTwitterで知ったりJPCERTにわざわざ見に行ったりとか面倒なので、スクリプトで自動収集してRedmineとかにチケット登録までやってもらえれば楽だと思う。メールでチケット登録はメンバーに報知されるので、それ見て個々の対応要否を確認、担当者や作業範囲の割り振りをRedmine上で行う。まだ検討していない脆弱性情報はまるわかり。一元管理最高。
  • メリット
    • 楽。確実。
    • 対応のログも追うことができる。
    • チケット番号を共有すればメンバーへの報知も楽。
  • デメリット
    • チケットが溢れ過ぎやしないか?
    • なにもかも自動にすると逆に気にしなくなるフラグ。
    • 無関係なプロダクトの情報までは必要ない ⇒収集時にキーワードで弾けばいい

そもそも脆弱性情報とは

各ベンダーが配信していたり、ITmediaのようなニュースサイトが取り上げていたり色々あるが、確実な情報ソースとして、OSS、商用ソフトウェア問わず、あらゆる脆弱性情報を一元的に扱う仕組みがある。

CVE

CVE - Compatible Products and Services
米MITREによる国際的な脆弱性情報データベース。脆弱性情報は「CVE-西暦4桁-連番4桁以上」の識別番号(CVE-ID)を振られ、一意に管理されている。なお連番は2014年より年間1万件以上にも対応し、必要に応じて桁数が可変となった。例えば先月のFlashの脆弱性はCVE-2015-5119に分類されている。VENOMは3456

JVN

Japan Vulnerability Notes
Japan Vulnerability Notes。JPCERTとIPAによる 日本向けの 脆弱性情報ポータル。JVNによる識別番号が振られているが、CVEとも連携している。どうでもいいが脆弱性を英語で言うと「ヴァルネラビリティ」ってのはちょっとカッコよすぎる気がする。

JVN iPedia

JVN iPedia - 脆弱性対策情報データベース
これもJPCERTとIPAの運営。JVNとの違いが正直よくわからんのだが、収集情報が違うらしい。

  • JVN : 早期警戒パートナーシップに基づく情報、海外CERT等からの情報
  • JVN iPedia : 国内外問わずベンダー等から公表された脆弱性情報を広く掲載

要はJVN iPediaの方が「広い」ということになるのだとは思うが、JVN iPediaの情報がJVNをすべてカバーしているのかよくわからないので、どちらも確認しておくのが正解かと思う。またこちらもCVE番号と連携されている。

JPCERT 注意喚起

JPCERT コーディネーションセンター 注意喚起
脆弱性情報というよりはSecurity情報の報知に近い印象。上述のものと比べると最大公約数的と言うのか、Microsoft Update等のセキュリティパッチ情報や、昨年のbash脆弱性のような深刻度の高い情報が掲載されている。エンジニアレベルであればJVN等の情報が必要となるが、逆にクライアントPCのセキュリティ管理についてはこちらを見ておいた方が見逃しは少なくて済みそう。

脆弱性情報分類の指標値

このページに「脆弱性の評価システム・取扱いフレームワーク関連」としていくつかまとめられているが、特にCVSSCWEに着目すると便利そうな感。

前者は脆弱性の評価スコアであり、客観的に脆弱性の危険度を判断して、例えば対策をすべきか否かの判断に使うこともできよう(もちろんあらゆる脆弱性に対応するのが是だが、そうもいかない場合はあるし)。現在はCVSS v3が最新の基準となっている。

CWEはXSS、バッファオーバーフローといった脆弱性分類。説明読んでもよくわからんって場合でもCWE見れば概要はつかめる。ただしJVNは対応していない。

脆弱性情報の収集

ツールもあったりするようだが、RSSやメーリス購読するのが手っ取り早いように思う。まぁメーリスだとテキストなので自動で収集して加工してごにょごにょとかやるには一手間かかりそうなので、そういうことしたいならRSS(xml)がいいだろうか。。。でもRSSも全文配信されていなかったりしてぐぬぬ。jsonとかでくれ。ひょっとして自動で情報取得したいならスクレイピング掛けるのが最適解だったりする可能性が微レ存。。。?

わりとちゃんとスクリプティングしなきゃならない(手軽にポンポンと何か叩けば終わりそうな感じがしない)ので面倒くさくて現状は未着手。これぐらいならシェルでやってしまってRedmine API等で登録してしまえば良さそうではある。

参考にならない参考情報

世のみなさまが脆弱性情報をどのように集めて対応して管理しているのかって大変興味あるのだが、Qiitaはじめあまり目ぼしい情報は見つからなかった。yum等でアップデート来たら当ててくだけの話で、JPCERTまでわざわざ確認にいったりはそんなにしないんですかね。

ChatOpsでOSのセキュリティアップデートを自動化出来るようにした - Glide Note - グライドノート

すげーとしか言い様がない。すごすぎて参考にならない。こういう回し方できたら最高だな。。。

Linuxで脆弱性が見つかった場合の対応方法 まとめ | Developers.IO

たぶん、普通はこう。

76
80
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
76
80