セキュリティセンターは、脆弱性管理機能を提供します。 この機能を使用して、できるだけ早い機会にアセットの一般的な種類の脆弱性を検出および修正できます。 このトピックでは、脆弱性の修正の優先順位、脆弱性の修正手順、および脆弱性修正機能の説明について説明します。
脆弱性を修正するための優先事項
脆弱性を修正する優先順位は、次の要因によって異なります。
テクノロジー。
搾取可能性。 この要因は、概念実証 (PoC) 、エクスプロイト、武器化されたワーム、または武器化されたウイルスを指します。
脅威だ この要因は、脆弱性を悪用してサーバー権限を取得できるかどうかを示します。
脆弱性が悪用された後の影響を受けたIPアドレスの数。 この要因は、脆弱性が攻撃者によって悪用される可能性を示します。
セキュリティセンターは、脆弱性を修正するための緊急性のスコアを計算する式を提供します。 スコアを使用して、脆弱性を修正する優先度を決定できます。 数式の詳細については、「脆弱性を修正する緊急性のスコアの数式」をご参照ください。
次の表に、脆弱性を修正するための緊急性のスコアと各優先度の間のマッピングを示します。
優先度 | 説明 | 脆弱性を修正する緊急性のスコア | 提案 |
高い | この優先順位は、認証されていないリモート攻撃者によって容易に悪用される可能性のある脆弱性に割り当てられます。 この脆弱性は、ユーザーの操作なしに任意のコード実行を介してシステムを侵害する可能性があります。 ほとんどの場合、このタイプの脆弱性はワームやランサムウェアによって悪用されます。 | 13.5より大きい | このタイプの脆弱性は、できるだけ早く修正することを推奨します。 |
中程度 | この優先順位は、リソースの機密性、整合性、または可用性に悪影響を与える可能性のある脆弱性に割り当てられます。 ほとんどの場合、このタイプの脆弱性は悪用できません。 ただし、このタイプの脆弱性は、インターネットまたは公式Webサイトで公開された場合、CVSSによって高いスコアが与えられます。 このタイプの脆弱性を重視することを推奨します。 | 13.5に7.1 | ビジネス要件に基づいて、このタイプの脆弱性を修正することを推奨します。 |
低 | この優先順位は、悪用される可能性が最も低い、または悪用された後にリスクをもたらさない脆弱性に割り当てられます。 ほとんどの場合、このタイプの脆弱性は、プログラムのソースコードのバグ、またはコンプライアンスとサービスパフォーマンスに影響を与える脆弱性です。 | 7.1未満 | このタイプの脆弱性は無視することを推奨します。 |
脆弱性を修正するための提案
アセットで複数の脆弱性が検出された場合、早期に修正する必要がある脆弱性を特定できない場合があります。 この問題に対処するには、[脆弱性] ページに移動し、[実際のリスク脆弱性のみを表示] をオンにして、優先度の高い脆弱性を取得します。
Security Centerの実際のリスク脆弱性モデルは、アリババクラウドの脆弱性スコアリングシステム、時間スコア、環境スコア、資産重要性スコア、PoC、搾取可能性、および重大度に基づいて脆弱性を評価する。 このようにして、実際のリスク脆弱性が自動的に特定されます。 スイッチをオンにすると、企業が悪用可能な脆弱性を早期に修正し、修正の有効性を向上させることができます。
複数の種類の脆弱性が検出された場合は、緊急脆弱性とWeb-CMS脆弱性を優先的に修正することを推奨します。 これらの脆弱性を修正した後も、引き続きアプリケーションの脆弱性、Windowsシステムの脆弱性、およびLinuxソフトウェアの脆弱性を修正できます。
ビジネス要件、サーバーの使用状況、および脆弱性修正の影響に基づいて、脆弱性を優先的に修正するかどうかを判断できます。
脆弱性を修正する手順
エラーを防ぎ、脆弱性修正中にサーバーのオペレーティングシステムが期待どおりに実行されるようにするには、次の操作を実行して脆弱性を修正することを推奨します。
脆弱性をスキャンします。
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。左側のナビゲーションウィンドウで、 を選択します。
[脆弱性] ページの右上隅にある [設定] をクリックします。
[設定] パネルで、設定を確認して、すべてのサーバーですべての種類の脆弱性を検出できるようにします。 詳細については、「脆弱性のスキャン」をご参照ください。
[脆弱性] ページに移動し、[今すぐスキャン] をクリックします。
現在のアカウントに属するすべてのサーバーの脆弱性ステータスを確認して、検出された脆弱性に関する情報が最新であることを確認します。
脆弱性を修正する前にテストを実行します。
脆弱性を修正する前に、テスト環境で修正する脆弱性のパッチをインストールし、互換性とセキュリティをテストし、テストの完了後に脆弱性修正に関するテストレポートを生成します。 テストレポートには、脆弱性修正結果、修正期間、パッチの互換性、および脆弱性修正による影響を含める必要があります。
脆弱性を修正するサーバー上のデータをバックアップします。
脆弱性を修正する前に、バックアップおよび復元機能を使用して、サーバー上のデータをバックアップします。 たとえば、Elastic Compute Service (ECS) のスナップショット機能を使用して、ECSインスタンスのスナップショットを作成できます。 Windowsシステムの脆弱性とLinuxソフトウェアの脆弱性を修正する場合は、[スナップショットを自動的に作成して修正] オプションを選択してデータをバックアップできます。 緊急およびアプリケーションの脆弱性を修正する場合は、ECS コンソールに移動してスナップショットを作成する必要があります。 脆弱性が検出されたECSインスタンスのリストをエクスポートし、自動スナップショット機能を使用してデータをバックアップすることを推奨します。 詳細については、「自動スナップショットポリシーの概要」をご参照ください。
脆弱性を修正します。
脆弱性パッチをサーバーにアップロードし、パッチを使用して脆弱性を修正します。 このタスクには、少なくとも2人の管理者が必要です。 一方の管理者は脆弱性の修正を担当し、もう一方の管理者は修正プロセスの記録を担当します。 脆弱性を修正するときは注意してください。
脆弱性の修正を確認します。
サーバーの脆弱性が修正されているかどうかを確認します。 脆弱性が修正され、サーバーで例外が発生していないことを確認してください。
脆弱性修正機能の説明
緊急およびアプリケーションの脆弱性
Security Centerは、緊急およびアプリケーションの脆弱性を検出し、これらの脆弱性を修正する方法について提案します。 ただし、Security Centerでは、数回のクリックで緊急およびアプリケーションの脆弱性を修正することはできません。 これらのタイプの脆弱性を修正する場合は、脆弱性が検出されたサーバーにログインし、脆弱性の詳細ページに記載されている修正の提案に基づいて手動で脆弱性を修正する必要があります。
Security Centerは、すべてのオペレーティングシステムの脆弱性を修正できません。 一部のオペレーティングシステムの脆弱性を修正するためにパッチを直接使用すると、リスクが発生する可能性があります。 リスクを防ぐため、ECS コンソールでスナップショットを作成し、テスト環境を構築して修正ソリューションをテストすることを推奨します。 ECSインスタンスで緊急またはアプリケーションの脆弱性が検出された場合、ECSコンソールに移動してデータバックアップ用のスナップショットを作成できます。 脆弱性が検出されたECSインスタンスのリストをエクスポートし、自動スナップショット機能を使用してスナップショットを作成することを推奨します。 詳細については、「自動スナップショットポリシーの概要」をご参照ください。
修正がビジネスに影響するために脆弱性を修正できない場合、または必要なセキュリティパッチがリリースされない場合は、一時的な軽減のために公式に提供されたソリューションに基づいて攻撃防止を実行することを推奨します。
脆弱性がビジネスに影響を与えず、セキュリティパッチがリリースされている場合は、脆弱性を修正する前にソフトウェアを安全なバージョンにアップグレードすることを推奨します。
Linuxソフトウェアの脆弱性とWindowsシステムの脆弱性
Security Centerは、Linuxソフトウェアの脆弱性とWindowsシステムの脆弱性を自動的に検出し、数回クリックするだけでこれらの脆弱性を修正できます。 Security Centerコンソールにログインします にログインし、特定の脆弱性の詳細ページに移動して脆弱性を処理することを推奨します。 脆弱性修正の詳細については、「脆弱性の表示と処理」をご参照ください。
アセットで複数のLinuxソフトウェアの脆弱性が検出された場合は、バッチ修正機能を修正して、一度に脆弱性を修正できます。 この機能は、Linuxソフトウェアの脆弱性に対してのみサポートされます。 一度に複数の脆弱性を修正すると、Security Centerは影響を受けるアセットを自動的に識別し、これらのアセットの脆弱性を修正します。 次の操作を実行して、一度に複数のLinuxソフトウェアの脆弱性を修正できます。
Security Centerコンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。左側のナビゲーションウィンドウで、 を選択します。
[脆弱性] ページの [Linuxソフトウェア] タブで、修正する脆弱性を選択し、[バッチ修復] をクリックします。
説明パフォーマンスへの影響を防ぐために、一度に100以下の脆弱性を修正することをお勧めします。 100を超える脆弱性を修正する場合は、スナップショットをバッチで作成してから、脆弱性を修正できます。
[バッチ修復] ダイアログボックスで、影響を受けるアセットを表示し、[スナップショットを自動的に作成して修正] または [スナップショットのバックアップと修正をスキップ] を選択し、[今すぐ修正] をクリックします。
複数の脆弱性が一度に修正されない場合は、サーバーのネットワーク接続が正常かどうか、およびディスク容量が十分かどうかを確認してください。 詳細については、「Linuxソフトウェアの脆弱性とWindowsシステムの脆弱性の修正に失敗する」をご参照ください。 これはなぜですか。 」をご参照ください。
Web-CMSの脆弱性
Security CenterはWeb-CMSの脆弱性を検出し、数回クリックするだけで脆弱性を修正できます。 Web-CMS脆弱性検出機能は、Webサイトディレクトリを監視し、一般的なWebサイトビルダーの脆弱性を特定できます。 Web-CMSの脆弱性は、Linuxソフトウェアの脆弱性を修正するのと同じ方法で修正できます。 詳細については、「脆弱性の表示と処理」をご参照ください。