Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表：数十万のシステムを即座に検査

Googleは、ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開した。脆弱性の検出を一部自動化できるため、大量のシステムを持つ大企業にとって特に有用だという。

[＠IT]

　Googleは2020年6月18日（米国時間）、汎用ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開したと発表した。Tsunamiは、重大な脆弱（ぜいじゃく）性を高精度で検出するための拡張可能なプラグインシステムを備えている。現在はα版の前の段階（pre-alpha）にある。

　Googleは、Tsunamiを開発した背景を次のように説明している。

　「攻撃者がセキュリティ脆弱性や構成ミスを悪用し始めたら、企業は資産保護のために迅速に対応する必要がある。攻撃者が自動化への投資を拡大しているため、新たに見つかった重大な脆弱性に企業は数時間単位で対処しなければならなくなっている。これは、インターネットに接続された数千、あるいは数百万のシステムを持つ大企業にとって、大きな課題だ。そうしたハイパースケール環境では、セキュリティ脆弱性の検出と理想を言えば修正も、完全に自動化する必要がある。そのためには、新しいセキュリティ問題を検出できるツールを、情報セキュリティチームがごく短時間に大規模に展開できなければならない。さらに、こうしたツールの検出精度が一貫して非常に高いことも重要だ。これらの課題に対応するため、われわれはTsunamiを開発した」

　Googleは、Tsunamiとともに「Google Kubernetes Engine」（GKE）を利用して、自社の全ての外部向けシステムを継続的にスキャンし、保護している。

2段階で動作する

　Tsunamiはシステムをスキャンする際、次の2段階のプロセスを実行する。

1. 偵察調査　最初のステップとして、開いているポートを検出し、一連のフィンガープリンティングプラグインを使って、調査対象としたホストで動作しているプロトコル、サービス、その他のソフトウェアを特定する。Tsunamiはこうした作業の一部で「nmap」のような既存ツールも利用する
2. 脆弱性の検証　予備調査を通じて得た情報を基に、特定したサービスにマッチする全ての脆弱性検証プラグインを選択する。脆弱性の存在を確認するため、Tsunamiは無害なエクスプロイト（脆弱性を突くコード）を実行する

　Tsunamiの初期バージョンは、セキュリティ問題を検出する2つの機能を備えている。