MIRACLE Vul Hammer の機能

1. MIRACLE Vul Hammer の機能概要
2. MIRACLE Vul Hammer の運用イメージ
3. MIRACLE Vul Hammer を利用したセキュリティガイドラインのチェック

機能概要

項目	機能概要
ダッシュボード	システム全体の脆弱性状況のサマリを把握するためのページ 以下の 3 項目を確認することができる 残存する脆弱性件数の推移を表示 対策を実施した件数の推移を表示 未対策のタスク ( 対策すべき脆弱性 ) の件数を経過日数ごとに表示
脆弱性管理	システムに残存する脆弱性の状態を表示し、脆弱性を各種フィルタや検索キーワードで絞り込むことが可能 対処すべき脆弱性を素早く見つけ出し、脆弱性に対してタスクの生成を行うことができる
ホスト管理	監視対象ホストの登録、スキャンの実行を行う 役割や管理方法に適したホストグループに所属させる OS に包含されるパッケージ以外のアプリケーションをスキャン対象として登録することができる ホストに残存する脆弱性情報、HW 資産情報を表示することができる ホストに残存する脆弱性に対してタスクの生成ができる OS の EOL を管理することができる
タスク管理	タスク ( 対策すべき脆弱性 ) の状況管理を行うためのページ タスクに対する適応計画 / 適応状況を確認できる タスクをクローズさせるための方法が確認できる タスクに対する以下のパッケージのアップデートを申請できる※ OVAL ファイルで脆弱性管理しているホストのパッケージ rpm パッケージまたは deb パッケージ メインリポジトリで管理されているパッケージ
セキュリティガイドライン管理	セキュリティガイドラインに沿ったシステム設定のチェックができる 各セキュリティガイドラインのチェック項目を確認することができる 関連するセキュリティガイドラインの参照先を確認することができる
ユーザー管理	タスク ( 対策すべき脆弱性 ) の生成ポリシーの設定を行う ユーザグループ (admin/write/read) を作成し、ユーザを所属させることが可能 ホストグループを作成し、どのユーザグループに管理をさせるかを設定することが可能
レポート	ホスト単体、ホストグループ単位、システム全体の脆弱性の管理状況をレポートで出力可能

※ パッケージのアップデートにはエージェントの導入が必要です。

MIRACLE Vul Hammer を使用した運用イメージ

MIRACLE Vul Hammer を使用して以下のように脆弱性管理を行うことができます。

(1) 脆弱性の発見/分析

システムの管理者は、Zabbix 画面で重要な脆弱性情報の通知があった場合に Vul Hammer の画面を起動し、Vul Hammer のダッシュボードや、脆弱性の一覧画面より脆弱性を分析することができます。

(2) 脆弱性の対策指示(タスク生成)

発見/分析を行った脆弱性に対して、該当するホストの役割などをもとに対策指示(タスクの生成)を行います。タスクはポリシーに応じた自動生成も可能です。

(3) タスクについての対応方針の検討

ホスト管理者はタスク(アラーム)をトリガーに脆弱性情報を確認し、タスクに対する対応方針(対応時期等)を入力し、計画に基づいて脆弱性に対する対応を実施します。なお、何らかの理由で対策が不要と判断されたタスクについては、「非表示」のフラグをつけて次回以降表示しないように管理します。

(4) 脆弱性対策状況の管理

次回のスキャンにてタスクが「対策実施済」のステータスに自動で移行します。 「対策実施済」のホストの管理者またはシステム管理者が確認の上、削除を行うことができます。

なお、「対策実施済」のタスクは履歴管理のためにシステムに残しておく運用も可能です。

(5) 定期監査等への対応

通常は上記(1)～(4)を実施することで日々の脆弱性管理を実施しますが、定期監査や脆弱性診断などのタイミングで、ダッシュボード機能やレポート機能を活用して報告資料を作成を行うことができます。

(1)脆弱性の発見/分析

Zabbix の"ダッシュボード"や"障害"の画面で表示される脆弱性は以下の2種類があります。

1. OVAL ルールでのスキャンの結果で検出された「CRITICAL」な脆弱性
2. CPE ルールのスキャンの結果で検出された「CRITICAL」な脆弱性

また、Zabbix では、ホストごとに OVAL ルールで検出された脆弱性を深刻度ごとに件数を表示し、未対策の脆弱性の件数表示も行います。これにより、どのホストにどのレベルの脆弱性が何件内在しているかを確認することができます。

MIRACLE Vul Hammer ではシステムに存在する脆弱性を CVE をキーとして一覧で表示が可能です。また、各ホスト単位で内在している脆弱性を確認することも可能です。

脆弱性の分析後、対処不要な脆弱性と判断される場合には脆弱性を非表示化させることが可能です。その際、非表示化のための理由をフリーコメントとして書き込むこともできます。

(2)脆弱性の対策指示(タスク生成)

脆弱性の詳細情報を分析後、対策が必要と判断される脆弱性については対策指示(タスク)を生成し、ホスト管理者に通知を行うことができます。
タスクの生成は手動または、事前に設定するポリシーに応じて自動で行うことが可能です。
生成されたタスクは画面で一覧表示することが可能です。

生成したタスクは E-Mail や Slack、Redmine を使用してホスト管理者に通知することができます。また、通知の内容は変数を用いて編集が可能です。

(3)/(4)タスクに対する対応方針の検討と対策の実施

また、タスクの第二ペインの画面からパッケージのアップデートのためのワークフローを開始することができます。この際、対象ホストに対してエージェントの導入が必要です。同時に、対策方法(アップデート方法)を確認することも可能です。

根本的な対応は脆弱性を解決したアップデートパッケージやパッチの適用を行うことになりますが、設定等で回避策を行ったり、ホストの性質上、対策が不要と判断されるタスクも存在します。

緩和策を実施した場合、タスクを手動で「緩和策実施済」に変更し、実施した緩和策をタスクのコメント欄に入力して管理することができます。同様に対策不要と判断したタスクについては、手動でタスクのステータスを「非表示」に変更し、その理由をタスクのコメント欄に入力して管理することができます。

根本的な対応(脆弱性を解決したアップデートパッケージやパッチの適用)を実施した場合は、次回のスキャンで脆弱性の対策がされていることが確認でき、タスクのステータスが手動で「対策実施済」に変更となります。この対策実施済となったタスクは履歴管理のために残しておくこともできますが、手動で削除を行うことも可能です。

(5)定期監査等への対応

MIRACLE Vul Hammer では定期監査等に活用可能なダッシュボード機能やレポート機能を提供しております。レポートはホスト単位、ホストグループ単位、システム全体の 3 通りのレポートを作成可能です。

MIRACLE Vul Hammer を使用したセキュリティガイドラインのチェック

脆弱性を利用した攻撃を防ぐために、脆弱性管理と並行して、安全なシステムの設定を行うことが重要です。 MIRACLE Vul Hammer では、XCCDF と呼ばれるセキュリティガイドラインに関連するチェック項目を利用し、セキュリティ上問題になりうるシステム設定を可視化します。 スキャンしたチェック項目の結果は、FAIL と PASS で表示され、検索することが可能です。

チェック項目の詳細画面では、関連するセキュリティガイドラインの参照先を確認することが可能です。 MIRACLE Vul Hammer では、主に NIST SP800-51、NIST SP800-171、PCIDSS のガイドラインを表示しています。 他に参照可能なガイドラインがある場合には、全ての参照から確認可能です。