Productカテゴリ

脆弱性スキャナVulsとは

はじめに

伊藤真彦です。
ブログ開設に伴い、まずはVulsについて改めてご紹介させていただきます。

脆弱性スキャナVulsとは

Vulsとはフューチャー株式会社の神戸 康多により2016年4月にGitHubで公開された、脆弱性スキャナです。
開発にまつわるエピソードはエンジニアHub様の記事ガンジス川で瞑想し、サウナでひらめきVulsができた - 各OSに対応する脆弱性スキャンを実現した手法、フューチャー株式会社のオウンドメディア、未来報の祝!ソフトウエアジャパンアワード受賞 「OSSで社会貢献したい」Vuls開発者 神戸さんインタビューなどで記載いただいています。
ソフトウエアジャパンアワード受賞、ガンジス川で瞑想、などキャッチーないしリリカルなキーワードが目を引きますが、VulsはOSSの脆弱性スキャナです。

公式サイトにも記載の通り、OSSのVulsとFutureVulsが存在します。
これらの違いはスキャナとしての追加機能の有無だけではなく、Vulsのスキャン機能を用い、脆弱性対応のタスクのトリアージ、対応状況のマネジメントまでを含めた機能を持ったSaaSがFutureVulsという立て付けになっています。
フューチャー技術ブログにVulsの歴史というタイトルで開発の経緯を寄稿しています。
OSSコミュニティとしてVulsのSlackチャンネルを開設しています、参加フォームよりお気軽に参加して頂ければ幸いです。

Vulsで扱う脆弱性とは

Vulsは元々サーバ本体のアップデート未適用な部分に含まれる脆弱性をターゲットに実装されました。基本的にはsshでログインできる先であればスキャンできるくらいのイメージを持っていただければ間違いないでしょう。
その後、世界中の色々な人に使われるようになり機能拡張を積み重ねた結果、現在ではコンテナイメージやpackage-lock.jsonのようなアプリケーションの依存パッケージ、有償ミドルウェアやNW機器など多様な対象をスキャンできるようになりました。

さて、脆弱性をスキャンするとはそもそもどういう事でしょうか。
WEBサーバであれ、基幹システムであれ、サーバには様々なアプリケーションがインストールされています。
これらアプリケーションの中には、サーバに不正アクセスを行う事を可能とする脆弱性を持っているものが存在します。

例えば2021年末にApache Log4jに任意のコード実行の脆弱性が大きな話題となりました。
こうした脆弱性はCVE (Common Vulnerabilities and Exposures)という一意のIDが採番され、様々な脆弱性データベースに詳細が追加されます。
Log4jの脆弱性はCVE-2021-44832ですが、脆弱性データベースに登録された情報を基にスキャン対象のサーバーを調査する作業を自動化する事がスキャン機能の目的です。

2021年には2万件以上のCVEが新規に登録され、これまででトータル17万件程度が公開されています。
サーバやアプリケーション、システムでどのようなアプリケーションが利用されているかを洗い出し、またそれらが脆弱性を持った古いバージョンか、もしくは明らかになった脆弱性に対応するためのアップデートがリリースされてるかを地道に調査するのは途方もない作業量である事は想像に難くないでしょう。

Vulsでは脆弱性情報に加えて攻撃コード情報やCERTの注意喚起情報などの様々な情報源から収集し、スキャン対象の影響調査を自動で行う機能や調査結果をレポートする機能が実装されています。

image.png

FutureVulsについて

前述しましたがVulsの機能を基幹部分としたFutureVulsがSaaSとして提供されています。
OSSのVulsだけでも勿論スキャンは可能ですが、取得した脆弱性データベースの管理、更新や、各種スキャン先の設定、レポート用管理ダッシュボードの用意など、各種作業およびインフラが必要になります。単発のプラットフォーム脆弱性診断やマニアックな方はOSSで十分でしょう。

FutureVulsはスキャンによる脆弱性の可視化に留まらない、企業向けの製品である、という立て付けですが、

image.png

SaaSとしてサービスを提供する事で脆弱性情報のアップデート、メンテナンスを自力で行う必要がなくなる、スキャン対象の追加、メンテナンスがより簡単になる、といった観点でも嬉しい製品であると言えます。

また、日々の継続的な脆弱性管理のための便利機能がてんこ盛りです。

  • サーバx脆弱性単位でステータス管理できるタスク機能
  • 事前定義した条件で高リスクな脆弱性をフィルタする重要フィルタ機能
  • CloudOneと連携し、防御ルールの自動生成や防御中の脆弱性のタスクステータスを自動でワークアラウンドにする機能
  • ダッシュボードや自動トリアージ、複数システム横断管理、ソフトウェア全検索機能のある、全社管理または大規模システム向けのCSIRTプラン
  • AWSやSlackなどとの外部連携機能

さらに企業システム向けに、インターネットにつながらない閉域環境や、Windowsをスキャン対象に拡張しています。スキャン対象の詳細を知りたい方はスキャン対象の選択肢と特徴を参照してください。

OSSとの違いをさらに知りたい場合は、料金ページの表をご確認ください。

FutureVulsはログインページから新規登録を行うだけで利用を開始でき、無料トライアル期間もございますので、是非お気軽にお試しいただければ幸いです。

まとめ

  • Vulsは神戸 康多により開発されたOSSの脆弱性スキャナである
  • 脆弱性スキャナとはCVEに登録された脆弱性の確認を自動化するツールである
  • FutureVulsを使うと日々の継続的な脆弱性管理を楽にできる

VulsドキュメントへのOSSコントリビューション、FutureVulsへのお問い合わせなど心よりお待ちしております。