Alibaba Cloudで始めるマルチクラウド環境での脆弱性管理(技術コラム)

システムの運用をしていく中で避けては通れない課題として「脆弱性対策」に悩まされることは多いのではないでしょうか?
脆弱性を放置した事による不正アクセスや情報漏洩などは毎年起きており、脆弱性関連情報は大きいものから小さいものまで毎日のように報告されています。

今回のコラムでは、脆弱性管理に対する課題をお持ちのお客様事例をもとに脆弱性リスクの対策の流れを解説します。

〈目次〉

 

脆弱性対策における課題


 

脆弱性対策の難しいところは個別の脆弱性を修正したとしても、いつまた新たな脆弱性が発見されるか分からないことです。
実際に脆弱性対策を行おうとすると、以下のようなタスクと実行していくための運用体制の構築が必要になってきます。

 

・管理対象(サーバーなど)の管理と棚卸
・管理対象の構成情報(ソフトウェアのインストール状況やバージョン情報など)の定期的な収集
・脆弱性関連情報の迅速で網羅的な収集
・管理対象と脆弱性情報のマッチングによる脆弱性の検知
・脆弱性に対する対応方法の検討や対応優先度の判定
・該当する管理対象への対応作業の実施と対応完了のチェック

 

少数のサーバーで構築されている単一のシステムであれば人力での対応も可能かもしれませんが、管理対象のサーバー数が非常に多いWebサービスや、複数のシステムが様々なロケーション(オンプレミス環境やパブリッククラウドなど)で稼働している事も多い昨今では、脆弱性対策にかかる手間やコストは非常に大きくなっていきます。

そのため、現実的には効率的に運用をしていくための脆弱性管理を自動化する仕組みが必要となってきています。自動化していく手段としては脆弱性検知ツールの使用や、脆弱性検知サービスの利用が有効です。
日本製のOSS(オープンソースソフトウェア)の「Vuls(VULnerability Scanner)」などはIPA(独立行政法人情報処理推進機構)でも脆弱性検知ツールとして紹介されておりご存知の方も多いのではないでしょうか。

IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」:IPA 独立行政法人 情報処理推進機構

 

Alibaba Cloudを活用した解決策


 

今回は複数のロケーション(オンプレミス環境やパブリッククラウドなど)を活用し、コンシューマー向けのWebサービスを提供されているお客様でした。各サービスごとに主にオープンソースをベースに構築されたシステム基盤と独自作成システムを個別の体制で運用しており脆弱性管理の検知方法や体制、修正ルールなどが決まっておらずサービス運用における課題となっていました。

お客様の抱えている脆弱性管理の課題に対する解決策として、今回は脆弱性検知サービスの機能を有する「Security Center」の導入に至りました。

 

f:id:sbc_kitano:20210726100636p:plain

 

Security Center は Open Vulnerability and Assessment Language (OVAL®) や Common Vulnerabilities and Exposures (CVE) 、Microsoft 更新プログラムの情報などを取得しており脆弱性情報の収集が自動化されています。

この脆弱性情報と定期的に収集した資産の構成情報をマッチングすることで、自動的に脆弱性の検知と脅威度の判定が実施され、Security Center のダッシュボードで簡単に確認することが出来る様になります。

 

f:id:sbc_kitano:20210726100721p:plain

 

Alibaba Cloud の運用のベースとなる統合セキュリティ管理システムとして提供されていますが、Alibaba Cloud 以外のオンプレミス環境、マルチクラウドでもエージェントを導入することでご利用可能です。

Security Center は脆弱性の修正方法も提供し、ダッシュボードからのリモートFixや自動修正機能も有しています。
これらの機能を上手く利用することで脆弱性に対する運用を迅速に、的確に対処していくことが可能になります。

また、脆弱性の検知と修正機能以外にも、機械学習に基づいた脅威分析とリスク予測、脅威が検出された際のアラート生成、構成のベースラインチェック、ランサムウェア対策、ウイルス対策、Web 改ざん防止、不正なシステムプロセスの検知、異常なログオンの検知など多岐にわたる機能を提供しています。
セキュリティ状況分析をサポートし、セキュリティイベントを追跡および分析するためのグラフィカルユーザーインターフェイスを提供します。

 

f:id:sbc_kitano:20210726100753p:plain
〈脅威が検出された際のアラート生成〉

 〈関連コラム〉

 

効果:脆弱性状況を俯瞰的に把握し、未然にリスクを低減


 

Security Center の導入により、お客様が展開している複数のサービス全体を通して、脆弱性状況を俯瞰的に把握することが出来るようになりました。

今までは認識出来ていなかった脆弱性などが実際の環境で検出され、対応することが出来るようになりました。そして定期的に脆弱性の検知が報告されるようになったことで、運用チームによる自発的な脆弱性対策が進むようになり、サービス全体を通してセキュリティ意識と品質が向上しました。

さらに脆弱性の検出、脅威度などのリスク判定、対象の特定が自動化されたことで、重大な脆弱性が発生した場合でも、対象サーバーなどが瞬時に判別でき対策完了のチェックも自動化されているので以前より運用負荷を軽減することが出来ました。

f:id:sbc_kitano:20210727101106p:plain

 
Security Center ではアセットフィンガープリントと呼ばれる情報も自動的に収集されダッシュボードで検索可能になったことで、サーバー台数が多い場合の状況把握に効果を発揮する様になりました。

 

・サーバー上の listen port の情報を収集
・サーバー上のユーザーアカウント情報を収集
・サーバー上の稼働プロセスを検出
・サーバー上のソフトウェアのインストール情報
・サーバー上のスケジュールされたタスク(cron)

 

f:id:sbc_kitano:20210726101010p:plain
〈アセットフィンガープリント〉


不正なシステムプロセスの検知、異常なログオンの検知なども機械学習ルールに基づいて自動的にアラート通知がされており、セキュリティ品質の向上に寄与しています。

 

f:id:sbc_kitano:20210726101035p:plain

 

Security Center は脆弱性管理のみならず様々なセキュリティ運用の支援をしてくれる機能を多数持っています。
現状の脆弱性管理方法に課題を抱えている場合には一度試してみていただければと思います。

 

〈関連製品・サービス〉

Security Center

Alibaba Cloudとは?

〈関連記事〉

f:id:sbc_kitano:20210727100921p:plain

松田 悦洋SBクラウド株式会社
技術部 ソリューションアーキテクト課

SIerのインフラ/クラウドアーキテクトとしてオープンソースを活用したシステム基盤やクラウドを活用したシステム提案・開発の経験を経て2019年1月にSBクラウドへ入社。ソリューションアーキテクトとして、お客様への提案や課題解決に向けた活動を中心に実施。Alibaba Cloud MVP (2020 - 2021)