フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ：「Vuls祭り#4」で披露

　フューチャーは、2018年8月末にオープンソースソフトウェア（OSS）の脆弱（ぜいじゃく）性スキャナー「Vuls（VULnerability Scanner）」のv0.5.0をリリースし、Vulsを基にした商用サービス「FutureVuls」も大幅にバージョンアップした。2018年8月27日に開催された「Vuls祭り#4」で披露した。

2018年8月27日に開催された「Vuls祭り#4」の様子

脆弱性スキャンの品質が大幅に向上した「Vuls v0.5.0」

　VulsはLinuxやFreeBSDを対象にした脆弱性スキャナーだ。「JVN（Japan Vulnerability Notes）」「NVD（National Vulnerability Database）」「OVAL（Open Vulnerability and Assessment Language）」といったパブリックな脆弱性データベースに登録されている脆弱性情報を参照し、それがターゲットのホスト上で動作するOSやライブラリに含まれているかどうかを検査できる。

　今回のバージョンアップでは「脆弱性スキャンの品質が大きく向上したことが特徴だ」とフューチャーの神戸康多氏は言う。「例えば、これまでXML形式で取得していたNVDの脆弱性情報をJSONで取得するようにした結果、取得する情報の品質が向上した。これまで、脆弱性の影響を受けるバージョンを比較する際、データベース側の記述が曖昧な場合は判断が難しかったが、より正確に取得できるようになった。これにより、CPE（Common Platform Enumeration）を用いた検知の精度が高まり、プログラミング言語のライブラリやネットワーク機器に含まれる脆弱性も、より正確に検出できるようになった」

　また、「Red Hat Security Advisories」「Debian Security Bug Tracker」が公開する脆弱性情報を新たな脆弱性データベースとして加えた。

　「これまでとは比べものにならないほど検知能力が向上し、数百もの脆弱性が見つかるようになった。時には、Red HadやCentOS、Ubuntu、Debianなどのディストリビュータのリポジトリにまだパッチが出ていない脆弱性まで検出し、可視化できるようになった」（神戸氏）

脆弱性対応、運用を支援する「FutureVuls」も大幅刷新

　FutureVulsは、2018年1月にリリースされた脆弱性対応支援ツールだ。OSSのVulsが支援するのは脆弱性を可視化するところまでだが、FutureVulsは可視化された脆弱性の優先順位付け、タスクチケット管理、実際のパッチ適用の運用までをサポートするクラウドサービスだ。主な特徴は下記のようになっている。

• OSSのVulsをベースにした脆弱性スキャナーを搭載しているが、LinuxやFreeBSDだけではなくWindows環境についても検査が可能
• 脆弱性単位、あるいはサーバ単位で詳細を確認できるビューを備える
• 脆弱性単位のビューでは、特定の脆弱性に該当するサーバを抽出し、それに対し「いつ」「誰が」「何をするか（あるいはこれから取るか）」を一元的に管理可能
• サーバ単位のビューで、複数のサーバを「ロール」という単位でグループ化して大量のサーバを一括管理できる。当該サーバが含む脆弱性の「CVE（Common Vulnerabilities and Exposures）-ID」を一覧表示できる他、アップデートに必要なコマンドも参照できる

　数百件の脆弱性が検知されるようになったVuls 0.5.0だが、運用を考えると頭の痛いことでもある。見つかり、報告された以上、脆弱性を放置するわけにはいかないからだ。数百もの脆弱性にどのように優先順位を付け、対処するかを考えると気の重くなる運用担当者もいることだろう。こうした部分を支援するため、商用サービスとして提供しているのがFutureVulsだという。

　「脆弱性を見つけるだけではなくそれらの優先順位を付け、『誰が、いつ対処したか』というステータスを管理し、アップデートを適用してプロセスを再起動するまでに至る一連の脆弱性対応を支援する。ユーザーは脆弱性情報を一元管理するだけではなく、やらなくてもいい脆弱性対応はやらずにおいたり、逆に深刻そうなものはじっくり調べ、対処したりといったことができる」（神戸氏）

　加えて、今回のバージョンアップでは、下記の機能が追加された。

FutureVulsの新バージョンは、多数の脆弱性情報を組織として扱えるようインタフェースを刷新した

• Reactを用いて全面的に作り直し、グリッドベースのインタフェースを採用。CVE-IDや「CVSS（Common Vulnerability Scoring System）」といったカラムの順番をカスタマイズできる。グリッド内をjkキーでVim風に移動できる。tmuxのようにペイン表示を切り替えることができる。ディスプレイ解像度に合わせた画面構成に設定できる
• フィルター機能によって、一定のCVSSスコア以下の脆弱性を一括で非表示にしたり、攻撃コード公開の有無やサーバ環境に応じてCVSS深刻度を再計算したりすることができる
• サーバ単位のビューでは、アップデートする際に影響を受けるプロセス一覧を表示したり、アップデートは適用したがまだ再起動していないプロセスを示したりすることができるようになった

　「今回のアップデートでは、検知された脆弱性の対応要否をセキュリティ専門家でなくても判断し、パッチ運用を行えるように改良した。自社のニーズに合わせて表示する順番を変えたり、しきい値を設定して重要なものだけを表示できたりするようになっている。限られたリソースの中で、優先度の高いものから効率的に対応できる。いわば『SecOps』をサポートするツールといえるだろう」（神戸氏）