弊社は2017年4月24日に脆弱性診断サービスの提供を開始しました。本ブログでは、脆弱性診断として活用する「F-Secure RADAR」に関する内容について記載していきたいと思います。第1回目の今回は、F-Secure RADARとはなにか?をご紹介致します。

F-Secure RADARの概要

F-Secure RADARは、ITシステムの脆弱性を診断するツールです。管理ネットワーク内の資産を洗い出すディスカバリスキャン、プラットフォームに対するOSやソフトウェアの既知の脆弱性を識別するシステムスキャン及び、WEBアプリケーションの脆弱性を識別するWEBスキャンの3つを兼ね備えています。さらにスキャン結果のレポート生成や脆弱性の管理といった機能も有しています。基本的にIPアドレスを持つデバイスすべてに対して、スキャンを実行する事が出来ます。※システムスキャン、WEBスキャンはPCI-ASVとして認定されたスキャニングツールです。

初めに、F-Secure社(以下、エフセキュア)を簡単にご紹介させて頂きます。エフセキュアは、フィンランドのヘルシンキに本社を置くソフトウェア会社です。「F-Secure インターネットセキュリティ」の開発販売を行っており、Linuxサーバ用途を主として、エンタープライズ向けに、アンチウィルスの開発を続けてきた老舗です。

ITシステムの脆弱性をスキャン・管理するサービス「F-Secure RADAR」は、2016年10月よりエフセキュア社から販売が開始されています。

F-Secure RADARのコンポーネント

ここではF-Secure RADARのコンポーネントを見ていきます。F-Secure RADARには、2つのコンポーネントがあります。

  • RADAR Security Center
  • RADAR Scan Node

RADAR Security Center(以下、セキュリティセンター)は、スキャンの管理、脆弱性の閲覧、レポートの作成等を有した、コアコンポーネントです。管理は専用のWebUIで行います。セキュリティセンターは、エフセキュア社が提供するクラウド、もしくは自社内に設置し利用する事が可能です。

セキュリティセンターは、バックエンドでエフセキュア社のラボと接続し、定期的にプラグインの追加と更新、スキャンエンジンのアップデート、ライセンス管理サービスの更新を行います。

一方、RADAR Scan Node(以下、スキャンノード)は、診断対象の機器に対して実際にスキャンを行う、サーバとなります。スキャンノードは、エフセキュア社が提供するクラウドもしくは弊社センター(計画中)、自社内に設置する事が可能です。例えば、公開サーバに対しては、クラウド上のスキャンノードを使用し、自社内のサーバ、クライアントパソコン等に対しては、自社内に設置したスキャンノードを使用してスキャンを行います。

それでは、各スキャンの内容を見ていきましょう。※今回は各スキャンで実施できる概要を記載します。詳細な制御内容は次回以降で記載します。

ディスカバリスキャン

ディスカバリスキャンは、IP範囲を指定した上で、ICMPを使用したホストディスカバリまたは、TCP/UDPを使用したポートディスカバリで、ネットワーク上の機器を見つけ出します。ディスカバリスキャンでは、ネットワーク上の機器を探し出す事が出来るので、管理機器の洗い出しや、サーバ等の機器追加に伴うネットワーク上の構成変更を自動的に検出する事が出来ます。

システムスキャン

システムスキャンは、診断対象機器に対して脆弱性スキャンを行う根幹機能となります。IPを持つ機器に対してスキャンを行う事が出来ます。システムスキャンでは、ポートベーススキャンと認証スキャンによりシステムの脆弱性を洗い出します。

  • ポートベーススキャン
  • 認証スキャン

ポートベーススキャンは、TCP/UDPパケットを利用して各サービスの脆弱性をチェックする事が出来ます。認証スキャンでは、ポートベーススキャンに加え、OSレベルでのパッチ適用有無や、スキャナの誤検知を削減し、対象機器に対してより詳細かつ正確な脆弱性チェックを行う事が可能となります。ポートベーススキャンは、各オープンポートサービスに対してコネクション要求を行い、システムからのレスポンスの内容によって脆弱性を識別するのに対して、認証スキャンでは、OSにリモート接続を行った上で、診断用のコマンドを発行し、より詳細なスキャンを行う事が可能となります。

WEBスキャン

WEBスキャンは、WEBアプリケーションの脆弱性をチェックする事が出来ます。例えば、インジェクション攻撃の脆弱性や、XSSの攻撃に対して脆弱性の有無を洗い出す事が出来ます。フォーム認証やレコーディング機能を利用し、複雑な画面遷移を伴うページに対してもスキャンを行う事が可能です。

今回はF-Secure RADARのご紹介をさせて頂きました。システムの脆弱性は、一般的にプラットフォームの脆弱性と、WEBアプリケーションの脆弱性に対して診断を行います。F-Secure RADARは、2つの側面の脆弱性を検出する事が可能で、かつ検出した脆弱性を管理する事で情報セキュリティにおけるPDCAを行う上での強力なサポートツールとなります。次回は実際にF-Secure RADARを使用した脆弱性診断を行う上での必要な環境構築の内容を記載したいと思います。

F-Secure RADARの詳細はこちら >> https://www.crosshead.co.jp/products/sec_all/radar/