ソフトウェアの登録方法とその注意点
ホスト内の脆弱性の検知の対象となるソフトウェア(プロダクト)の登録方法は、大別して、(1)エージェントが自動的に取得し登録する方法と、(2)手動で登録する方法の二つがあります。このページでは、エージェントによる自動化可能な検知対象の説明、手動登録の利用目的、登録方法の違いによる注意点を説明します。
脆弱性の検知対象となるソフトウェア
ホストの脆弱性の検知対象となるソフトウェアは、次の仕様にてホストに登録されます。Windows ホストの場合は、ソフトウェアの登録方法の違いにより、検出脆弱性のチケットの発行内容が異なることに注意して下さい。
Linux 系ホスト | |
---|---|
エージェントによる登録 | Linux 用のエージェントにより、Linux ディストリビューション (OS) の rpm/deb のバイナリ・パッケージ※1が脆弱性の検知対象となり自動登録されます。これには、 OS ならびにディストリビューションが提供する様々なオープンソースソフトウェア(OSS)が含まれます。また、Linux 用エージェントの特別な検知機能として、システム内に実装されている、ディストリビューション・パッケージ以外のソフトウェアを自動検知し、管理対象とします。 ※1 お客様が追加したリポジトリからインストールしたバイナリ・パッケージは検知対象となりません。これについては手動登録する必要があります。 |
手動登録 | SIDfm 脆弱性データベース内から脆弱性の検知対象のソフトウェアを選択し、手動で登録します。この登録は、「ホスト設定」画面で行なえます。対象となるソフトウェアは、Linux ディストリビューション OS も含みデータベースに登録された 800 種類以上のものから選択できます。最大 50 まで登録可能です。手動登録する用途の一つとして、ユーザがインストールした Linux パッケージ管理外の OSS を登録することにより、当該脆弱性を捕捉出来ることが挙げられます。 |
Windows ホスト | |
エージェントによる登録 | Windows 用のエージェントは、Windows Update Agent を利用して Windows 上の未適用パッチ情報を取得し脆弱性対象のデータを生成しています。マイクロソフト社が提供しているセキュリティ・アップデート情報の範囲内で該当するソフトウェアに対して更新適用されていない脆弱性のみが、VM サーバに定期的に送信されチケット登録されます。(注意)VM サーバへの当該情報の送信が1日に1回の頻度のため、すでに更新が終了し脆弱性が存在しないタイミングで送信された場合、VM サーバのホスト管理画面には「脆弱性がない状態」として表示されます。 |
手動登録 | SIDfm 脆弱性データベース内から脆弱性の検知対象のソフトウェアを選択し、手動で登録します。この登録は、「ホスト設定」画面で行なえます。Windows OS も登録できます。この場合は、該当する Windows OS バージョンに対しマイクロソフト社が発表するセキュリティ更新プログラムに係る脆弱性がホストのチケットとして登録されていく形になります。(注意)ホスト詳細画面での脆弱性リストの表示内容が、「エージェントによる登録」の場合とは異なることに注意が必要です。 |
ホストへの登録方法のバリエーション
ホストへのソフトウェア登録は、上記二つの方法を併用することができます。登録方法のバリエーションとしては以下の形態が可能です。
エージェント による登録 |
手動登録 | 対象となるホスト | |
---|---|---|---|
登録方法 1 | オンラインのシステム | ||
登録方法 2 | オフラインのシステム あるいは、ネットワーク機器 |
||
登録方法 3 | オンラインのシステム ユーザ実装ソフトウェアがある |
ソフトウェアの登録方法の違いによる「対応状況」の変更操作
ソフトウェアの登録方法にかかわらず、当該脆弱性が検出された場合は自動的にチケットが発行され、管理画面に表示されます。この時点で、対応状況は「未対策」のステータスとなっています。その後、SIDfm VM 管理者あるいは SIDfm VM 報告者は、個々の脆弱性チケットに対して、対策計画に基づき対応状況(「対策中」「影響無」)のステータスを変更しますが、これは運用時の明確な指示を伴う操作のため手動で行う必要があります。パッチ適用作業後のステータスに関しては、エージェントで登録されたソフトウェアについては、自動でその変更が反映されます。
一方、手動登録されたソフトウェアについては、パッチ適用した際、当該ソフトウェアの新しいバージョンが適用されることになるため、それに合わせ SIDfm VM 上のソフトウェア登録もその新しいバージョンに登録し直す必要があります。パッチ作業が終了した時点で登録し直すことにより、その後パッチが適用された脆弱性チケットは、自動的に「対策済み」と変更されます。
脆弱性検出 | 対応状況の変更 「対策中」「影響無」 |
パッチ適用後の 「対策済み」更新 |
|
---|---|---|---|
エージェントで登録された ソフトウェア |
自動検出 | 手動で変更 | 自動で変更反映 |
手動登録された ソフトウェア |
自動検出 | 手動で変更 | 自動で変更反映(*1) |
ホストへのソフトウェア登録の適用事例
以下の例は、CentOS 7 のシステムに Web サーバを構築した Linux システムです。このホストでは、CentOS 7 の ディストリビューションパッケージが実装されています。ソフトウェアは、ベース OS の他に、 apache http server、PHP、MariaDB(MySQL)、CMS として WordPress の OSS で構成されています。 CentOS 7 のビルトイン・パッケージには、apache、PHP、MariaDB 等は提供されていますが、このバイナリ・パッケージを使用せず新しいバージョンを使用するために、ユーザ自身が各ソフトウェアをビルドし実装していると仮定します。ここで重要なことは、CentOS 7 のパッケージ管理システムで管理されていない重要なソフトウェアの脆弱性管理が行えるかどうかという点です。
SIDfm VM は、エージェントによる CentOS 7 のパッケージ・ソフトウェアの脆弱性を自動捕捉できるだけでなく、ユーザ自身で実装したソフトウェアに対しては、SIDfm データベースとの直接の照合により脆弱性を捕捉できる仕組みを備えています。
ここでは、このような構成の場合のソフトウェアの登録方法を示します。
- CentOS 7 のベースシステムのソフトウェアを登録する。登録する方法としては、ホストにエージェントを導入する方法と手動登録で「CentOS 7」を手動登録する方法があります。ここでは、エージェントを導入して脆弱性を捕捉することとします。
- ユーザ自身が実装したソフトウェアについては、手動登録します。
- 上記の二つの登録方法で、ソフトウェア登録すると、「ホスト設定画面」のホスト一覧表には、以下のような形で表示されます。
- 以上のソフトウェア登録により、当該ホストのソフトウェア脆弱性を捕捉できるようになります。