MIRACLE Vul Hammer V5 で脆弱性管理をしてみよう Part1 ～OVAL スキャン編

本ブログでは、MIRACLE Vul Hammer V5 を用いた脆弱性管理について記載します。

はじめに

前回の「MIRACLE Vul Hammer V5 を構築してみよう」では、Vul Hammer のインストールや設定、スキャン対象に必要な設定をご紹介しました。今回は、MIRACLE Vul Hammer が構築出来ている状態を前提に、脆弱性スキャンの設定や脆弱性スキャンの実施〜脆弱性対策までの流れをご紹介します。
本記事で脆弱性スキャンを実施するサーバは、MIRACLE LINUX 8.4 を対象にします。

MIRACLE Vul Hammer を使ってみよう

それでは、以下の手順で実際に Vul Hammer を使ってみましょう。

1. MIRACLE Vul Hammer の Web 画面にログイン
2. スキャン対象を MIRACLE Vul Hammer に登録
3. 脆弱性スキャンを実施
4. 脆弱性スキャンの結果を確認
5. タスクの生成
6. 脆弱性対策を実施

MIRACLE Vul Hammer の Web 画面にログイン

WebFrontendURL に Web ブラウザからアクセスします。
URL はデフォルトでは以下になります。

URL	http://<Vul Hammer Frontend が動作するサーバの IP アドレス >:8888/

正常にアクセスできた場合、ログイン画面が表示されます。

＜図 1. MIRACLE Vul Hammer のログイン画面＞

メールアドレスとパスワードを入力してログインしてください。
構築直後の初期設定の場合、メールアドレスとパスワードは以下になります。

メールアドレス	admin@example.com
パスワード	password

スキャン対象を MIRACLE Vul Hammer に登録

Vul Hammer は脆弱性管理を行いたいホストに対し、SSH や WinRM で接続を行ったうえで、スキャンの処理を実行します。
今回はスキャン対象である MIRACLE LINUX 8.4 のサーバに SSH 接続の設定を事前に行っています。

SSH 接続の設定方法は割愛しますが、前回の「MIRACLE Vul Hammer V5 を構築してみよう」で SSH 接続設定方法の例を紹介しているため、気になる方はご参照ください。

Vul Hammer の Web 画面左側にあるサイドバーから「ホスト」を選択します。
ホスト画面では、Vul Hammer がスキャン対象とするホストの一覧が表示されます。
ここで表示されている「Vul Hammer Manager Host」は、Vul Hammer Manager が動いているサーバを表します。

＜図 2. MIRACLE Vul Hammer のホスト画面＞

ホスト画面右上にある「操作」メニューから「作成」をクリックします。

＜図 3. MIRACLE Vul Hammer の操作メニュー＞

各フォームに必要事項を入力します。以下は、脆弱性スキャンを実施するサーバを「app-server」という名前で登録する例です。
入力が完了したら「送信」をクリックします。

＜図 4. MIRACLE Vul Hammer のホスト作成画面＞

正しく追加された場合は、ホストの一覧に「app-server」が追加されます。

＜図 5. MIRACLE Vul Hammer のホスト画面＞

脆弱性スキャンを実施

Vul Hammer の Web 画面左側にあるサイドバーから「ホスト」を選択します。
表示されたホストから、スキャンを実施したい対象ホストにチェックマークを入れます。
その後、画面中央の「操作」⇒「スキャン開始」をクリックします。

＜図 6. MIRACLE Vul Hammer のホスト画面＞

正常にスキャンが開始されると、スキャン対象の状態が「OVAL スキャンキューに追加されています」⇒「配信済み (OVAL) 」⇒「スキャン中」へ遷移します。

＜図 7. MIRACLE Vul Hammer のホスト画面＞

脆弱性スキャンの結果を確認

スキャンの結果、検出された脆弱性は、Vul Hammer Web 画面左側のサイドメニューより「CVE」をクリックすることで確認できます。

＜図 8. MIRACLE Vul Hammer の脆弱性画面＞

上記ではシステム全体の脆弱性が表示されるため、対象サーバのみの脆弱性を確認したい場合は、Vul Hammer の Web 画面左側にあるサイドバーから「ホスト」をクリックし、ホスト一覧から対象サーバを選択後、画面右側の「脆弱性（CVE）」タブをクリックすることで確認できます。

＜図 9. MIRACLE Vul Hammer のホスト画面＞

タスクの生成

対策すべき脆弱性をタスクとして登録することが出来ます。

また、タスク機能には Linux 系 OS を対象としたアップデートワークフローという機能もあります。
MIRACLE Vul Hammer Update Agent をスキャン対象にインストールすることで、dnf コマンド等でパッケージのアップデートするのではなく、Vul Hammer の Web 画面からパッケージのアップデートを行うことが可能です。

タスク機能の中のひとつではありますが、タスク機能とアップデートワークフロー機能はそれぞれ分離しており、別軸で考えます。タスクとアップデートワークフローの主なステータスの関連は以下のようになります。

Linux の場合

＜図 10. タスク・アップデートワークフロー関連図＞

Windows / NW 機器の場合

※ CPE で登録したソフトウェアの脆弱性をタスク生成する際もこちらに該当

＜図 11. タスク・アップデートワークフロー関連図＞

タスクとして登録したい脆弱性（CVE）にチェックマークを付けた後に、画面右側の「操作」⇒「タスク作成」をクリックします。

＜図 12. MIRACLE Vul Hammer のホスト画面＞

表示されたタスク作成画面の各フォームに必要事項を入力し、「送信」をクリックします。

＜図 13. MIRACLE Vul Hammer のタスク作成画面＞

Vul Hammer の Web 画面左側にあるサイドバーから「タスク」をクリックします。
以下のように登録されたタスクが一覧で表示されます。

＜図 14. MIRACLE Vul Hammer のタスク画面＞

脆弱性対策を実施

OVAL スキャンによって検出された脆弱性には、影響を受けるパッケージが関連付けられる事があります。その場合は該当するパッケージをアップデートすることで対策します。

今回は＜図 10. タスク・アップデートワークフロー関連図＞にある、「▼パターン A（アップデートする場合）」を例にアップデートしていきましょう。

パッケージのアップデートを実施したいタスクをクリックし、タスク詳細画面を開きます。
その後、画面右側にある「編集」をクリックします。

＜図 15. MIRACLE Vul Hammer のタスク画面＞

表示された編集画面に必要事項を入力します。

「アップデートワークフロー状態」から「申請中」もしくは「実行待機中」を選択します。

申請中	一般ユーザからサーバ管理者へアップデートの申請を行います。申請を受けたサーバ管理者は、その申請を承認することで Vul Hammer Web 画面からアップデートをすることが出来ます。
実行待機中	サーバ管理者が申請や承認のワークフローをスキップし、即時 Vul Hammer Web 画面からアップデートをすることが出来ます。

今回はサーバ管理者として、アップデートワーフクローの申請（申請中）と承認（承認中）のステップを飛ばし、即時アップデートを実行（実行待機中）します。

「アップデートワークフロー状態」項目で、「実行待機中」を選択後、「コメント」に対応内容を記載して記録を残しておきましょう。入力が完了したら「送信」をクリックします。

＜図 16. MIRACLE Vul Hammer のタスク編集画面＞

正常にアップデートが実施されると、タスクのアップデートワークフロー状態が「実行待機中」⇒「配信済」⇒「実行成功」と遷移します。

＜図 17. MIRACLE Vul Hammer のタスク画面＞

脆弱性対策が実施されたタスクのステータスは、次回の OVAL スキャン後に自動で「対策実施済み」に遷移します。

＜図 18. MIRACLE Vul Hammer のタスク画面＞

おわりに

今回は、MIRACLE Vul Hammer を利用して、実際にサーバの脆弱性を調べてみました。
本記事でも紹介したように、MIRACLE Vul Hammer では脆弱性スキャンや検知された脆弱性に対し、タスク管理をすることが出来ます。
気になった方は、是非評価版をお試しください！

本記事に関連するリンク

• MIRACLE Vul Hammer 製品紹介はこちら
  脆弱性管理ツール MIRACLE Vul Hammer
• MIRACLE Vul Hammer リリースノートはこちら
  MIRACLE Vul Hammer サポート関連情報