Alibaba Cloud ではじめるマルチクラウド環境での脆弱性管理

システムの運用をしていく中で避けては通れない課題として「脆弱性対策」に悩まされることは多いのではないでしょうか？ 脆弱性を放置した事による不正アクセスや情報漏洩などは毎年起きており、脆弱性関連情報は大きいものから小さいものまで毎日のように報告されています。

今回のコラムでは、脆弱性管理に対する課題をお持ちのお客さま事例をもとに脆弱性リスクの対策の流れを解説します。

脆弱性対策における課題

脆弱性対策の難しいところは個別の脆弱性を修正したとしても、いつまた新たな脆弱性が発見されるか分からないことです。 実際に脆弱性対策を行おうとすると、以下のようなタスクと実行していくための運用体制の構築が必要になってきます。

少数のサーバで構築されている単一のシステムであれば人力での対応も可能かもしれませんが、管理対象のサーバ数が非常に多いWebサービスや、複数のシステムがさまざまなロケーション（オンプレミス環境やパブリッククラウドなど）で稼働している事も多い昨今では、脆弱性対策にかかる手間やコストは非常に大きくなっていきます。

そのため、現実的には効率的に運用をしていくための脆弱性管理を自動化する仕組みが必要となってきています。自動化していく手段としては脆弱性検知ツールの使用や、脆弱性検知サービスの利用が有効です。 日本製のOSS（オープンソースソフトウェア）の「Vuls（VULnerability Scanner）」などはIPA（独立行政法人情報処理推進機構）でも脆弱性検知ツールとして紹介されておりご存知の方も多いのではないでしょうか。

IPAテクニカルウォッチ「脆弱性対策の効果的な進め方（ツール活用編）」：IPA 独立行政法人 情報処理推進機構

Alibaba Cloudを活用した解決策

今回は複数のロケーション（オンプレミス環境やパブリッククラウドなど）を活用し、コンシューマー向けのWebサービスを提供されているお客さまでした。各サービスごとに主にオープンソースをベースに構築されたシステム基盤と独自作成システムを個別の体制で運用しており脆弱性管理の検知方法や体制、修正ルールなどが決まっておらずサービス運用における課題となっていました。

お客さまの抱えている脆弱性管理の課題に対する解決策として、今回は脆弱性検知サービスの機能を有する「Security Center」の導入に至りました。

Security Center は Open Vulnerability and Assessment Language (OVAL®) や Common Vulnerabilities and Exposures (CVE) 、Microsoft 更新プログラムの情報などを取得しており脆弱性情報の収集が自動化されています。

この脆弱性情報と定期的に収集した資産の構成情報をマッチングすることで、自動的に脆弱性の検知と脅威度の判定が実施され、Security Center のダッシュボードで簡単に確認することができるようになります。

Alibaba Cloud の運用のベースとなる統合セキュリティ管理システムとして提供されていますが、Alibaba Cloud 以外のオンプレミス環境、マルチクラウドでもエージェントを導入することでご利用可能です。

Security Center は脆弱性の修正方法も提供し、ダッシュボードからのリモートFixや自動修正機能も有しています。 これらの機能を上手く利用することで脆弱性に対する運用を迅速に、的確に対処していくことが可能になります。

また、脆弱性の検知と修正機能以外にも、機械学習に基づいた脅威分析とリスク予測、脅威が検出された際のアラート生成、構成のベースラインチェック、ランサムウェア対策、ウイルス対策、Web 改ざん防止、不正なシステムプロセスの検知、異常なログオンの検知など多岐にわたる機能を提供しています。 セキュリティ状況分析をサポートし、セキュリティイベントを追跡および分析するためのグラフィカルユーザーインターフェースを提供します。