Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表：数十万のシステムを即座に検査

Googleは、ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開した。脆弱性の検出を一部自動化できるため、大量のシステムを持つ大企業にとって特に有用だという。

» 2020年06月26日 19時00分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleは2020年6月18日（米国時間）、汎用ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開したと発表した。Tsunamiは、重大な脆弱（ぜいじゃく）性を高精度で検出するための拡張可能なプラグインシステムを備えている。現在はα版の前の段階（pre-alpha）にある。

　Googleは、Tsunamiを開発した背景を次のように説明している。

　「攻撃者がセキュリティ脆弱性や構成ミスを悪用し始めたら、企業は資産保護のために迅速に対応する必要がある。攻撃者が自動化への投資を拡大しているため、新たに見つかった重大な脆弱性に企業は数時間単位で対処しなければならなくなっている。これは、インターネットに接続された数千、あるいは数百万のシステムを持つ大企業にとって、大きな課題だ。そうしたハイパースケール環境では、セキュリティ脆弱性の検出と理想を言えば修正も、完全に自動化する必要がある。そのためには、新しいセキュリティ問題を検出できるツールを、情報セキュリティチームがごく短時間に大規模に展開できなければならない。さらに、こうしたツールの検出精度が一貫して非常に高いことも重要だ。これらの課題に対応するため、われわれはTsunamiを開発した」

　Googleは、Tsunamiとともに「Google Kubernetes Engine」（GKE）を利用して、自社の全ての外部向けシステムを継続的にスキャンし、保護している。

2段階で動作する

　Tsunamiはシステムをスキャンする際、次の2段階のプロセスを実行する。

偵察調査　最初のステップとして、開いているポートを検出し、一連のフィンガープリンティングプラグインを使って、調査対象としたホストで動作しているプロトコル、サービス、その他のソフトウェアを特定する。Tsunamiはこうした作業の一部で「nmap」のような既存ツールも利用する
脆弱性の検証　予備調査を通じて得た情報を基に、特定したサービスにマッチする全ての脆弱性検証プラグインを選択する。脆弱性の存在を確認するため、Tsunamiは無害なエクスプロイト（脆弱性を突くコード）を実行する

　Tsunamiの初期バージョンは、セキュリティ問題を検出する2つの機能を備えている。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

常に偵察にさらされるWebアプリケーション、脆弱性が見つかるまで
当連載ではWebアプリケーションのセキュリティが置かれている状況と、サイバー攻撃について具体的なデータを示し、防御策を紹介している。前回はインターネットにはクリーンではないトラフィックが常にまん延していることを実証し、攻撃対象となる領域と、領域ごとの被害例について簡単に整理した。今回は、攻撃者の目線を交えて、Webアプリケーションが攻撃を受けるまでにたどるプロセスに沿って、順に解説していく。
そもそも「脆弱性」とは何なのか――WannaCry後＆リモートワーク時代の脆弱性対策
脆弱性対策の重要性を基本から説明し、脆弱性スキャナー／管理システムの有効性を説く連載。初回は、脆弱性とは何か、今注目すべき理由について。
Google、ファジングツール評価を自動化できる「FuzzBench」をリリース
Googleは、複数のファジングツールの評価を自動化できるオープンソースソフトウェアであり、無料サービスである「FuzzBench」をリリースした。どのソフトウェアテストが優れているのか、判定しやすい。