弊社では2017年4月13日に脆弱性診断サービスの提供を開始しました。本ブログでは、脆弱性診断として活用する「F-Secure RADAR」に関する内容を中心に記載していきたいと思います。第1回目の今回は、F-Secure RADARをご紹介します。

初めに、F-Secure社(以下、エフセキュア)を簡単にご紹介させて頂きます。エフセキュアは、フィンランドのヘルシンキに本社を置くソフトウェア会社です。「F-Secure インターネットセキュリティ」の開発販売を行っており、Linuxサーバ用途を主として、エンタープライズ向けに、アンチウィルスの開発を続けてきた老舗です。

ITシステムの脆弱性をスキャン・管理するサービス「F-Secure RADAR」は、2016年10月よりエフセキュア社から販売が開始されています。

個人的には、エンドポイント製品のエフセキュアが強いですが、脆弱性診断のようなセキュリティアセスメントや、EDRのソリューションも国内展開を予定しており、包括的なセキュリティソリューションを取り扱うメーカになってきたなと感じています。

それでは、F-Secure RADARのご紹介を始めたいと思います。

F-Secure RADARってなんだろう

F-Secure RADARは、ITシステムの脆弱性を診断するツールです。管理ネットワーク内の資産を洗い出すディスカバリスキャン、プラットフォームに対するOSやソフトウェアの既知の脆弱性を識別するシステムスキャン及び、WEBアプリケーションの脆弱性を識別するWEBスキャンの3つを兼ね備えています。さらにスキャン結果のレポート生成や脆弱性の管理といった機能も有しています。基本的にIPアドレスを持つデバイスすべてに対して、スキャンを実行する事が出来ます。

F-Secure RADARのスキャンでは3つの「可視化」を提供します。

  • サーバ・ネットワーク機器の存在
  • OS、ミドルウェアの脆弱性
  • WEBアプリケーションの脆弱性

F-Secure RADARを動かすには

ここではF-Secure RADARのコンポーネントを見ていきます。F-Secure RADARには、2つのコンポーネントがあります。

  • RADAR Security Center
  • RADAR Scan Node

RADAR Security Center(以下、セキュリティセンター)は、スキャンの管理、脆弱性の閲覧、レポートの作成等を有した、コアコンポーネントです。管理は専用のWebUIで行います。セキュリティセンターは、エフセキュア社が提供するクラウドもしくは、自社内に設置し利用する事が可能です。

セキュリティセンターは、バックエンドでエフセキュア社のラボと接続し、定期的にプラグインの追加と更新、スキャンエンジンのアップデート、ライセンス管理サービスの更新を行います。

一方、RADAR Scan Node(以下、スキャンノード)は、診断対象の機器に対して実際にスキャンを行う、サーバとなります。スキャンノードは、エフセキュア社が提供するクラウドもしくは、自社内に設置する事が可能です。例えば、公開サーバに対しては、クラウド上のスキャンノードを使用し、自社内のサーバ、クライアントパソコン等に対しては、自社内に設置したスキャンノードを使用してスキャンを行います。

それでは、F-Secure RADAR行える各スキャン(ディスカバリスキャン、システムスキャン、WEBスキャン)の内容を見ていきましょう。

■サーバ・ネットワーク機器の存在

ディスカバリスキャンは、IP範囲を指定した上で、ICMPを使用したホストディスカバリまたは、TCP/UDPを使用したポートディスカバリで、ネットワーク上の機器を見つけ出します。ディスカバリスキャンでは、ネットワーク上の機器を探し出す事が出来るので、管理機器の洗い出しや、サーバ等の機器追加に伴うネットワーク上の構成変更を自動的に検出する事が出来ます。

OS・ミドルウェアの脆弱性

システムスキャンは、診断対象機器に対して脆弱性スキャンを行う根幹機能となります。IPを持つ機器に対してスキャンを行う事が出来ます。システムスキャンでは、ポートベーススキャンと認証スキャンによりシステムの脆弱性を洗い出します。

  • ポートベーススキャン
  • 認証スキャン

ポートベーススキャンは、TCP/UDPパケットを利用して各サービスの脆弱性をチェックする事が出来ます。認証スキャンでは、ポートベーススキャンに加え、OSレベルでのパッチ適用有無や、スキャナの誤検知を削減が可能で、対象機器に対してより詳細かつ、正確な脆弱性チェックを行う事が可能となります。ポートベーススキャンは、各オープンポートサービスに対してコネクション要求を行い、システムからのレスポンスの内容によって脆弱性を識別するのに対して、認証スキャンでは、OSにリモート接続を行った上で、診断用のコマンドを発行し、より詳細なスキャンを行う事が可能となります。

WEBアプリケーションの脆弱性

WEBスキャンは、WEBアプリケーションの脆弱性をチェックする事が出来ます。例えば、インジェクション攻撃の脆弱性や、XSSの攻撃に対して脆弱性の有無を洗い出す事が出来ます。フォーム認証やレコーディング機能を利用し、複雑な画面遷移を伴うページに対してもスキャンを行う事が可能です。


■レポートで対処方法を確認します

システムスキャンの結果及び、WEBスキャンの結果はレポート形式で出力が可能です。検出した脆弱性の詳細説明、どのように対処すれば良いかが脆弱性毎にレポーティングされます。

このレポート結果は、あるWEBアプリケーションに対して、WEBスキャンを行った結果となり、上から、脆弱性のタイトル、脆弱性の評価区分、脆弱性の内容、脆弱性の対処方法、脆弱性のCVE番号が記載されています。

■最後に

今回はF-Secure RADARのご紹介をさせて頂きました。システムの脆弱性診断は、一般的にプラットフォームの脆弱性と、WEBアプリケーションの脆弱性に対して診断を行います。F-Secure RADARは、2つの側面の脆弱性を検出する事が可能でかつ、検出した脆弱性を管理することが可能です。定期的にシステムに対して脆弱性診断を行うことでシステムの現状を手軽にチェックでき、サイバー攻撃に対して隙のない状態を維持することが可能です。いわば人間でいうところの健康診断と同じです。F-Secure RADARは最新鋭の検査機器と管理機能を備えた優れた脆弱性診断ソリューションです。弊社は、F-Secure社とともに、F-Secure RADARを活用した脆弱性診断サービスを推進して行きます。

クロス・ヘッドの脆弱性診断サービスの詳細は、こちら

お問い合わせは、こちら