Linux系サーバーの脆弱性管理の効率化を目指して

神戸: JTB Web販売部様には、2020年からFutureVulsをご利用いただいています。まずは、御社が提供しているサービスと皆さんの役割について教えてください。

林: JTBグループは、ツーリズム、ビジネスソリューション、エリアソリューションをコアに旅行、福利厚生、出版、デジタルソリューションといった多様なサービスを提供しています。そのなかでも私たちWeb販売部は、インターネットでの旅行販売とレジャーチケットの販売を主な業としています。グループとしてはセキュリティを統括するCISOのもと、各社が管理体制を設けており、Web販売部では6名体制で、セキュリティ対策やソリューションの運用管理、従業員教育などを行っています。

神戸: どのようなシステム構成か教えてください。

林: 現在Web販売部だけで約600台のサーバーを運用しており、OSは主にWindows、Linuxを利用しています。サーバーも「国内旅行」や「海外旅行」といった商材ごとに異なりそれぞれ運用チームが分かれているため、常に複数のチームとの連携を要します。

神戸: FutureVulsの導入前はどのような課題があったのでしょうか？

白崎: もともとWindows系サーバーはパッチ適用等についてもかなり自動化されていたのですが、一方でLinux系サーバーの脆弱性管理は効率的な対応スキームが確立されていませんでした。情報収集や該当するマシンの抽出など影響調査に工数がかかってしまい、対応スピードや精度に課題を感じていました。万が一、検知が漏れてしまうと脆弱性が放置されたままになってしまうといったリスクも想定されました。

神戸: 脆弱性は年間1万件以上公開されますから効率的な管理スキームの確立は重要ですね。どのような運用体制だったのでしょうか？

白崎: 基本は、常時2名が張り付きで対応していました。運用者への周知に関しても脆弱性の対象となるサーバーとパッチの指示をエクセルで一覧にし、各担当者へメールで送り、各担当者が対応状況をファイルに追記するという運用でした。

運用フローにマッチし、手作業の9割が自動化、月あたり1人月分以上の工数を削減

神戸: 御社は、当初からオープンソース版ではなく有償版のFutureVulsを使っていただいていますが、導入の決め手はどういった点でしたか？

白崎: 日々の運用負荷を軽減し管理体制を変えていく必要性を感じていた時に、協力会社の方からFutureVulsを紹介いただきました。当初、3つくらい製品を紹介されたのですが、 運用でハレーションを起こさずに導入できるのはFutureVulsだけでした。現状の運用フローにそのまま置き換えることができ、 脆弱性の情報収集、管理工数の削減効果を算出すると 手作業でやっていた部分の9割が自動化され、少なくとも月あたり1人月分以上の負荷が削減できる ことがわかりました。また、検討時に IPAのテクニカルウォッチでVulsが紹介されていたことで信頼性も高まりました。

神戸: 私自身もIPAのレポート公開を知った時は興奮しました！現在は、FutureVulsをどのように活用して運用されていますか？

千葉: 我々セキュリティ担当者が、重要フィルタ機能を用いて「深刻な脆弱性の可能性がある」と見なすルールのセットをFutureVuls上に事前定義しています。各担当者はFutureVuls上にて、重要フィルタ機能で抽出された脆弱性をチェックし、対応の要否を検討して必要なものは対応するという流れです。

機能の有効活用で対処すべき脆弱性の対応をスピードアップ

神戸: FutureVuls導入後にはどのような変化がありましたか？

千葉: FutureVulsによって脆弱性の対象と対処法、やるべきことの順序が明確になり、それを各担当者が共通で見られるようになったことで、メンバーの対策意識が向上しました。 また、担当者だけではなくラインの課長などにもFutureVulsで容易に情報共有できるようになったので、 対処のスピードが非常に速くなりました。

神戸: 重宝している機能はありますか？

千葉: 4つあります。まず 「重要フィルタ」 ですね。予め条件を設定しておけば対応すべき脆弱性を絞れます。CVSSスコア以外にも様々なルールを組み合わせて設定しています。2つ目は 「自動トリアージ」のなかにある「自動非表示」機能 で、表示しなくてもよい情報を設定できます。3つ目は 「サーバータグ」 です。これは、神戸さんに依頼して追加していただいた機能ですが、商材の担当とかサーバーの種別などを入力することで、チームごとに必要な情報を区別できるというものです。最後に 「パッチ適用のコマンド」表示 です。コピーさえすればそのまますぐにパッチ適用でき、とても便利です。

神戸: うまく機能を活用いただいていて嬉しいです。CVSSのスコアだけで対応要否を決めようとすると、運用が回らないことがあります。脆弱性をただ羅列した状態で運用者に見せても、CVSSの情報を読み解けないという人もいますし、そもそも膨大な量にすべての対応ができないと尻込みしてしまいます。攻撃コードが公開されているかどうかやネットワークから攻撃可能かどうかなど 現状に即したリスクに合わせてトリアージし、よりリスクが高く、注力すべきものに的を絞ってしっかり対応すべきだと思います。

今やるべきことがよく分かる非常に優れたツール

神戸: FutureVuls導入時に苦労したことはありましたか？

千葉: 当社の場合、商材や部署等によってサーバーを管理しているチームが分かれており、チームごとの管理をどうしていくかという課題がありました。神戸さんにも相談し、結果、「サーバータグ」で部署やチームを登録するということで解決しましたが、このような個別の事情も理解いただき、それに即した対応をしていただけるのは本当に助かります。

神戸: ありがとうございます。FutureVulsはお客様の声を活かしながら、1～2ヵ月に1回の新規リリースを目標に開発に取り組んでいます。他にも要望がありましたらお聞かせください。

白崎: 現在の課題としては、脆弱性タスクへの対応状況をアプリケーションチームごとに手動でレポート化していることでしょうか。これが自動で生成されるような機能があると嬉しいですね。

神戸: 今まさに、ダッシュボードの作成は検討しておりますので、期待していただければと思います。では最後に、皆さんから一言ずつお願いします。

千葉: 何か分からないことがあれば すぐに相談に乗っていただけますし、要望を聞いてくださって実装までしていただける のが非常にありがたいです。

白崎: 特にLinux系サーバーの脆弱性情報の収集と影響調査に課題を抱えている企業には、FutureVulsをお勧めします。 ほぼ毎月、様々な機能改善もしていただいていますので、今後も期待しています。

林: FutureVulsは自分たちが今やるべきことがよく分かる非常に優れたツールだと感じています。 私どものように少人数で多数のサーバーセキュリティを担っているようなところはぜひ試してみてほしいです。良いサービスを提供していただいているので、私たち自身もお客様に安心安全なシステムを提供できるように努めたいと思います。