概要
Vulnerability Scanning(略してVSS)は Oracle Cloud infrastructure(OCI)上で利用することが可能な無償サービスの一つです。クラウド環境で稼働しているリソースの脆弱性を自動的に検出し、セキュリティを強化するためのツールです。
当該記事では、初めて使う人向けに、OCI Vulnerability Scanningの基本的な機能、利用方法、およびメリットについて説明します。
Vulnerability Scanningを使うと、、
ホストおよびコンテナ・イメージに潜在的な脆弱性がないかを定期的にチェックすることで、セキュリティ状態を改善するのに役立ちます。これにより、誤って構成されたリソースや脆弱なリソースを可視化し、改善情報など、これらの脆弱性に関するメトリックと詳細を含むレポートを生成することが可能となります。
以下にて具体的なメリットを3つ紹介します。
-1: 各インスタンスにおける脆弱性の有無 /パッチ適用状況を可視化
-2: ポートスキャンによる不要にオープンしているTCP/UDP ポートの把握
ホスト、ポート、コンテナ・イメージの観点でスキャン結果を確認する際に利用します。スキャン・レポートが生成され、該当するコンピュート・インスタンスやコンテナ・イメージに 対して網羅的に脆弱性を確認することが可能です。
-3: 脆弱性の検知
脆弱性のスキャン結果をCVE識別番号(CVE ID)の一覧より確認する際に利用します。
脆弱性レポートが生成され、CVE IDを選択することで脆弱性のあるコンピュート・ インスタンスを割り出すことが可能です。
脆弱性の情報ソース
当該サービスは、以下の情報ソースに基づいて実施されます。
スキャン可能な脆弱性例:
- TCP/UDPのオープンポート
- *CVEに基づいた脆弱性
*CVE (Common Vulnerabilities and Exposures)は 情報セキュリティにおける脆弱性やインシデントについて、それぞれ固有の名前や番号を付与し、 リスト化した事典です。
Common Vulnerabilities and Exposures (CVE) - CISベンチマークに基づいた設定状況
・National Vulnerability Database
→ National Vulnerability Database(NVD)は、アメリカ国立標準技術研究所(NIST)が運営するデータベースで、ソフトウェアやハードウェアのセキュリティ脆弱性に関する包括的かつ標準化された情報を提供するデータベースです。
・オープン脆弱性評価言語(OVAL)
→ OVALはOpen Vulnerability and Assessment Languageを指し、セキュリティに関する脆弱性や構成情報を標準化して表現するための言語です。
・Center for Internet Security(CIS)
→ CISベンチマーク(CIS Benchmarks)は、Center for Internet Security(CIS)によって提供される一連のベストプラクティスガイドラインです。これらは情報セキュリティを強化するための設定や構成の推奨事項を提供します。
ポートスキャン
不必要なサービスやポートが開いていると、攻撃者がこれらを利用してシステムに侵入するリスクが高まります。
ポートスキャンによって、こうしたセキュリティホールを発見し、適切な対策を行うことができます。
脆弱性スキャン・サービスでは、Oracle Cloud Infrastructureテナンシ内のコンピュート・インスタンスのポートのみがスキャンされます。サービスでは、内部のOracle管理ホストはスキャンされませんのでご注意ください。
Vulnerability Scanningによってスキャンされるポートに関しては以下を参照してください。
スキャンされるポートの一覧
Vulnerability Scanning Service 設定手順
手順1: まずはスキャンに必要なスキン・レシピの作成(設定)。
手順2: ターゲットを設定
まとめ
※1 https://www.tenable.com/products/nessus
※2 https://nmap.org