フューチャーは、2018年8月末にオープンソースソフトウェアの脆弱性スキャナー「Vuls」のv0.5.0をリリースし、Vulsを基にした商用サービス「FutureVuls」も大幅にバージョンアップした。
フューチャーは、2018年8月末にオープンソースソフトウェア(OSS)の脆弱(ぜいじゃく)性スキャナー「Vuls(VULnerability Scanner)」のv0.5.0をリリースし、Vulsを基にした商用サービス「FutureVuls」も大幅にバージョンアップした。2018年8月27日に開催された「Vuls祭り#4」で披露した。
VulsはLinuxやFreeBSDを対象にした脆弱性スキャナーだ。「JVN(Japan Vulnerability Notes)」「NVD(National Vulnerability Database)」「OVAL(Open Vulnerability and Assessment Language)」といったパブリックな脆弱性データベースに登録されている脆弱性情報を参照し、それがターゲットのホスト上で動作するOSやライブラリに含まれているかどうかを検査できる。
今回のバージョンアップでは「脆弱性スキャンの品質が大きく向上したことが特徴だ」とフューチャーの神戸康多氏は言う。「例えば、これまでXML形式で取得していたNVDの脆弱性情報をJSONで取得するようにした結果、取得する情報の品質が向上した。これまで、脆弱性の影響を受けるバージョンを比較する際、データベース側の記述が曖昧な場合は判断が難しかったが、より正確に取得できるようになった。これにより、CPE(Common Platform Enumeration)を用いた検知の精度が高まり、プログラミング言語のライブラリやネットワーク機器に含まれる脆弱性も、より正確に検出できるようになった」
また、「Red Hat Security Advisories」「Debian Security Bug Tracker」が公開する脆弱性情報を新たな脆弱性データベースとして加えた。
「これまでとは比べものにならないほど検知能力が向上し、数百もの脆弱性が見つかるようになった。時には、Red HadやCentOS、Ubuntu、Debianなどのディストリビュータのリポジトリにまだパッチが出ていない脆弱性まで検出し、可視化できるようになった」(神戸氏)
FutureVulsは、2018年1月にリリースされた脆弱性対応支援ツールだ。OSSのVulsが支援するのは脆弱性を可視化するところまでだが、FutureVulsは可視化された脆弱性の優先順位付け、タスクチケット管理、実際のパッチ適用の運用までをサポートするクラウドサービスだ。主な特徴は下記のようになっている。
数百件の脆弱性が検知されるようになったVuls 0.5.0だが、運用を考えると頭の痛いことでもある。見つかり、報告された以上、脆弱性を放置するわけにはいかないからだ。数百もの脆弱性にどのように優先順位を付け、対処するかを考えると気の重くなる運用担当者もいることだろう。こうした部分を支援するため、商用サービスとして提供しているのがFutureVulsだという。
「脆弱性を見つけるだけではなくそれらの優先順位を付け、『誰が、いつ対処したか』というステータスを管理し、アップデートを適用してプロセスを再起動するまでに至る一連の脆弱性対応を支援する。ユーザーは脆弱性情報を一元管理するだけではなく、やらなくてもいい脆弱性対応はやらずにおいたり、逆に深刻そうなものはじっくり調べ、対処したりといったことができる」(神戸氏)
加えて、今回のバージョンアップでは、下記の機能が追加された。
「今回のアップデートでは、検知された脆弱性の対応要否をセキュリティ専門家でなくても判断し、パッチ運用を行えるように改良した。自社のニーズに合わせて表示する順番を変えたり、しきい値を設定して重要なものだけを表示できたりするようになっている。限られたリソースの中で、優先度の高いものから効率的に対応できる。いわば『SecOps』をサポートするツールといえるだろう」(神戸氏)
Copyright © ITmedia, Inc. All Rights Reserved.