サイバートラストがソフトウェアの脆弱性管理ソリューションを強化、サーバー設定状況の可視化などが可能に

　サイバートラスト株式会社は、ソフトウェアの脆弱性管理を自動化する脆弱性管理ソリューション「MIRACLE Vul Hammer」において、サーバー設定状況の可視化などに対応した新版を提供開始すると発表した。

　MIRACLE Vul Hammerは、サイバートラストのLinuxディストリビューションの知見を生かして、CentOSをはじめとするLinuxやWindowsなどのOSと、ネットワークスイッチなどのデバイスの脆弱性をスキャンできるソフトウェア。各サーバーのパッチ適用状況と、事前に設定したポリシーへの違反を一元管理できるため、効率的な脆弱性管理を行えるという。

　今回の新版では、1）米国標準技術研究所（NIST）などのセキュリティガイドラインに沿ったスキャンによるサーバー設定状況の可視化、2）日立の脆弱性検索エンジンの組み込みによる脆弱性検索の精度向上、3）OSのEOL（End Of Life）管理――、といった機能が追加された。

　このうち1）では、NISTが提供するセキュリティ設定共通化手順（SCAP）を用いたスキャンにより、以前より提供してきた、システムに潜む脆弱性の可視化に加え、サーバーの設定状況の可視化に対応した。この機能では、NISTの「NIST SP800-171」と「NIST SP800-53」、クレジットカード情報セキュリティの国際基準である「PCI DSS」に準拠しているかを把握できる。

SCAPの構成要素の1つ、XCCDF（eXtensible Configuration Checklist Description Format）によるシステム設定のスキャン結果一覧

　また2）では、管理対象システムのオープンソースソフトウェア（OSS）利用情報と脆弱性情報を高い精度で照合できるようになった。こうした情報は、ソフトウェア名称やバージョンなどの表記が統一されていないことが多く、単純な照合処理では精度の高い結果を得られないというが、今回採用した日立の脆弱性検索エンジンは、脆弱性情報の標準的なフォーマットを学習させた最適化アルゴリズムを搭載しており、表記揺れを吸収するあいまい検索、および高い精度の照合が可能とのこと。

　なお日立の研究所で脆弱性検索エンジンの性能評価を実施したところ、75％以上の正答率、特にソフトウェアのバージョン情報については95％以上の正答率を確認したという。

　最後の3）は、各ホストOSのEOLを把握することにより、脆弱性対策を強化する機能。監視対象システムのOSのEOLを検出することにより、EOLを過ぎたソフトウェアを使い続けていたために、内在する脆弱性を利用して攻撃されるといったリスクを防ぐものだ。