セキュリティセンターは、脆弱性管理機能を提供します。 この機能は、オペレーティングシステム、webコンテンツ管理システム、およびアプリケーションのセキュリティの脆弱性を検出できます。 この機能は、脆弱性のリスクレベルと脆弱性を修正するための優先順位を評価することもできます。 この機能を使用して、数回のクリックで特定の種類の脆弱性を修正し、システムの攻撃領域を減らすことができます。 このトピックでは、検出および修正できる脆弱性の種類、脆弱性を修正するための優先順位、およびサポートされるオペレーティングシステムについて説明します。
脆弱性リストの更新に必要な時間
セキュリティセンターは、オペレーティングシステムプロバイダーがセキュリティ情報をリリースした後、特定の期間内にサポートされる脆弱性のリストを更新します。 次のリストは、オペレーティングシステムに基づく期間を示しています。
Linux: Security Centerは、14 × 24時間以内にサポートされる脆弱性のリストに脆弱性を追加し、LinuxプロバイダーがCommon vulnerabilities and Exposures (CVE) の脆弱性に関するセキュリティ情報をリリースした後、48時間以内に高リスクの脆弱性をリストに追加します。
Windows: MicrosoftがCVEの脆弱性に関するセキュリティ情報をリリースしてから48時間以内に、セキュリティセンターがサポートされる脆弱性のリストに脆弱性を追加します。
サポートされている脆弱性のリストは、Security Centerコンソールで表示できます。 脆弱性がリストに表示されている場合、その脆弱性はセキュリティセンターで検出できます。
サポートされている脆弱性のリストの更新は、祝日中に遅れる可能性があります。 祝日に脆弱性の検出が必要な場合は、 チケット
課金
使用上の注意
Advanced、Enterprise、Ultimate: 購入は必要ありません。 保護されたサーバーの脆弱性を修正するには、Security Centerコンソールにログインし、脆弱性の修正に必要なコマンドをサーバーに送信するか、OperateVulsまたはModifyOperateVul操作を呼び出します。 脆弱性修正機能の無制限のクォータが提供されます。
基本、付加価値プラン、およびウイルス対策: 脆弱性修正機能を使用するには、従量課金制の課金方法を使用して機能を購入するか、サブスクリプションの課金方法を使用して機能のクォータを購入します。 次に、Security Centerコンソールにログインし、脆弱性の修正に必要なコマンドを必要なサーバーに送信するか、OperateVulsまたはModifyOperateVul操作を呼び出します。
固定脆弱性の数を計算するルール
Security Centerコンソールでサーバー上の脆弱性を正常に修正すると、その脆弱性に関するセキュリティ情報に記載されているサーバー上のすべてのCVE (Common Vulnerabilities and Exposures) 脆弱性が修正されます。 セキュリティ情報には、同じソフトウェアに複数のCVE脆弱性が含まれている場合があります。
それぞれ10個の脆弱性 (セキュリティ情報) を修正する必要があるサーバーが5台あり、security Centerコンソールでサーバーにコマンドを送信して脆弱性を修正すると、修正された脆弱性の総数は50になります。
サーバーの脆弱性が修正された後にサーバーの再起動が必要な場合、修正はサーバーを再起動して脆弱性のステータスが修正された後にのみ成功したと見なされます。
失敗した脆弱性の修正はカウントされません。
検出および修正できる脆弱性の種類
次の表に、Security Centerの各エディションで検出および修正できる脆弱性の種類を示します。
表では次の記号が使用されています。
: この機能はサポートされています。
: この機能はサポートされていません。
脆弱性タイプ | 機能 | 基本版 | 付加価値プランエディション | アンチウイルス版 | 高度なエディション | エンタープライズ版 | 究極のエディション |
Linuxソフトウェアの脆弱性 | 手動脆弱性スキャン | ||||||
定期的な自動脆弱性スキャン | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは1日です) 。 | (デフォルトのスキャンサイクルは1日です) 。 | (デフォルトのスキャンサイクルは1日です) 。 | |
脆弱性の修正 | 脆弱性修正のクォータを購入するか、従量課金方法に基づいて脆弱性修正を購入する必要があります。 | 脆弱性修正のクォータを購入するか、従量課金方法に基づいて脆弱性修正を購入する必要があります。 | |||||
Windowsシステムの脆弱性 | 手動脆弱性スキャン | ||||||
定期的な自動脆弱性スキャン | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは1日です) 。 | (デフォルトのスキャンサイクルは1日です) 。 | (デフォルトのスキャンサイクルは1日です) 。 | |
脆弱性の修正 | 脆弱性修正のクォータを購入する必要があります。 | 脆弱性修正のクォータを購入する必要があります。 | |||||
Web-CMSの脆弱性 | 手動脆弱性スキャン | ||||||
定期的な自動脆弱性スキャン | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは2日です。) | (デフォルトのスキャンサイクルは1日です) 。 | (デフォルトのスキャンサイクルは1日です) 。 | (デフォルトのスキャンサイクルは1日です) 。 | |
脆弱性の修正 | |||||||
アプリケーションの脆弱性 | 手動脆弱性スキャン | ||||||
定期的な自動脆弱性スキャン | (デフォルトのスキャンサイクルは1週間です。 カスタムスキャンサイクルを指定できます。 | (デフォルトのスキャンサイクルは1週間です。 カスタムスキャンサイクルを指定できます。 | |||||
脆弱性の修正 | |||||||
緊急の脆弱性 | 手動脆弱性スキャン | ||||||
定期的な自動脆弱性スキャン | (デフォルトのスキャンサイクルは1週間です。 カスタムスキャンサイクルを指定できます。 | (デフォルトのスキャンサイクルは1週間です。 カスタムスキャンサイクルを指定できます。 | (デフォルトのスキャンサイクルは1週間です。 カスタムスキャンサイクルを指定できます。 | ||||
脆弱性の修正 |
Security Centerは緊急の脆弱性とアプリケーションの脆弱性のみを検出できますが、これらの種類の脆弱性を修正することはできません。 これらのタイプの脆弱性を修正する場合は、脆弱性が検出されたサーバーにログインし、脆弱性の詳細ページに記載されている修正の提案に基づいて手動で脆弱性を修正する必要があります。
脆弱性を修正するための優先事項
アセットで複数の脆弱性が検出された場合、早期に修正が必要な脆弱性を特定できない場合があります。 この問題に対処するために、Security Centerは、脆弱性を評価し、脆弱性の修復に優先順位を付けるAlibaba Cloud脆弱性スコアリングシステムを提供しています。 このようにして、脆弱性を修正する緊急性のスコアに基づいて、脆弱性を修正する優先順位を決定できます。
Alibaba Cloud脆弱性スコアリングシステム
共通脆弱性スコアリングシステム (CVSS) は、脆弱性の範囲と影響を評価できます。 CVSSは、脆弱性を悪用する可能性を評価し、脆弱性の結果について通知することもできます。 Alibaba Cloudは、実際の攻撃および防御シナリオで検出された脆弱性の重大度を分析し、CVSSの原則に基づいた脆弱性スコアリングシステムを開発します。
アリババクラウドの脆弱性スコアリングシステムは、実際のクラウドベースの攻撃および防御シナリオにおける脆弱性の重大度、脅威検出モデルにおける脆弱性の利用可能性、およびインターネット上で開示されるエクスプロイトのステータスに基づいて、脆弱性を修正するための緊急性のスコアを決定する。 重大度レベルは、低、中、高、またはクリティカルにすることができ、重大度レベルは、CVSSが脆弱性に与えるスコアから変換されます。 脅威検出モデルは、Security Centerによって提供されます。 このように、このシステムは、企業が悪用されるリスクが高い脆弱性を修復するのに役立ち、脆弱性修復の有効性を保証します。
脆弱性の重大度は、次の要因に基づいて決定されます。
テクノロジー。
これは、概念実証 (PoC) 、エクスプロイト、武器化されたワーム、または武器化されたウイルスです。
脅威だ この要因は、脆弱性を悪用してサーバー権限を取得できるかどうかを示します。
脆弱性が悪用された後に影響を受けるIPアドレスの数。 この要因は、脆弱性が攻撃者によって悪用される可能性を示します。
脆弱性を修正するための緊急性のスコアの式
脆弱性を修正するための緊急性のスコアは動的に変化する。 脆弱性が開示された後、アリババクラウドの脆弱性スコアリングシステムは、脆弱性によって引き起こされる可能性のある影響に基づいて脆弱性にスコアを与える。 このスコアは、Alibaba Cloud脆弱性スコアと呼ばれます。 オペレーティングシステムが更新されると、いくつかの脆弱性が修正されます。 したがって、脆弱性の影響を受けるオペレーティングシステムが少なくなり、脆弱性の脅威が軽減されます。 これにより、このタイプの脆弱性を修正する緊急性のスコアが低下します。 さらに、脆弱性を修正するための緊急性のスコアは、配置環境および資産の重要性によって影響される。
Alibaba Cloudは、脆弱性を修正するための緊急性のスコアを計算するために、次の式を提供します。
脆弱性を修正する緊急性のスコア=Alibaba Cloud脆弱性スコア × 時間スコア × 環境スコア × 資産重要性スコア
次の表に、式の要素を示します。
要素 | 説明 | 補足 |
Alibaba Cloud脆弱性スコア | スコアは、Alibaba Cloud脆弱性スコアリングシステムに基づいて生成されます。 | スコアは、脆弱性の重大度レベルを評価するために使用される。 |
タイムスコア | 動的時間曲線が使用される。 この曲線は、脆弱性緩和の展開の延期や脆弱性エクスプロイト方法の普及などの要因に基づいて生成されます。 有効な値は 0~1 です。 | 脆弱性が暴露されてから3日以内に、脆弱性が悪用される可能性が大幅に高まります。 この期間中、時間スコアは0から1未満の一時的なピーク値まで増加する。 この期間の後、タイムスコアは大幅に減少します。 脆弱性は、搾取可能性の増加により、時間の経過とともに悪用されやすくなります。 タイムスコアは増加し、100日以内に1に近づきます。 |
環境スコア | スコアは、サーバーの環境条件を示します。 Security Centerは、脆弱性の悪用条件やサーバーのステータスなどの要因に基づいて環境スコアを計算します。 環境スコアは、上記の式の重要な要素です。 | 次のリストは、環境スコアを決定する要因について説明しています。
|
資産重要度スコア | 多数のサーバーがある場合、システムは、さまざまなシナリオでの重要度に基づいて、さまざまなサーバーの資産重要度スコアを計算します。 資産重要度スコアは、前述の式の重要な要素です。 | デフォルト値は 1 です。 ホストアセット ページでは、[重要] 、[正常] 、[テスト] のいずれかのタグをアセットにアタッチできます。 資産重要度スコアは、次の種類の資産によって異なります。
|
脆弱性を修正するための優先事項
脆弱性を修正するための緊急度によって決定される優先度に基づいて脆弱性を修正できます。
次の表に、脆弱性を修正するための緊急性のスコアと各優先度の間のマッピングを示します。
優先度 | 説明 | 脆弱性を修正する緊急性のスコア | 提案 |
高い | この優先順位は、認証されていないリモート攻撃者によって容易に悪用される可能性のある脆弱性に割り当てられます。 この脆弱性は、ユーザーの操作なしに任意のコード実行を介してシステムを侵害する可能性があります。 ほとんどの場合、このタイプの脆弱性はワームやランサムウェアによって悪用されます。 | 13.5より大きい | このタイプの脆弱性は、できるだけ早く修正することを推奨します。 |
中程度 | この優先順位は、リソースの機密性、整合性、または可用性に悪影響を与える可能性のある脆弱性に割り当てられます。 ほとんどの場合、このタイプの脆弱性は悪用できません。 ただし、このタイプの脆弱性は、インターネットまたは公式Webサイトで公開された場合、CVSSによって高いスコアが与えられます。 このタイプの脆弱性を重視することを推奨します。 | 13.5に7.1 | ビジネス要件に基づいて、このタイプの脆弱性を修正することを推奨します。 |
低 | この優先順位は、悪用される可能性が最も低い、または悪用された後にリスクをもたらさない脆弱性に割り当てられます。 ほとんどの場合、このタイプの脆弱性は、プログラムのソースコードのバグ、またはコンプライアンスとサービスパフォーマンスに影響を与える脆弱性です。 | 7未満 | このタイプの脆弱性は無視することを推奨します。 |
ネットワークのジッターなどの理由で脆弱性の環境スコアを計算できない場合、脆弱性を修正する優先度は低いです。
緊急およびWeb-CMSの脆弱性には、Alibaba Cloudセキュリティエンジニアによって確認された高優先度が割り当てられます。 緊急およびWeb-CMSの脆弱性をできるだけ早く修正することを推奨します。
制限事項
脆弱性検出および脆弱性修正のサポートされているオペレーティングシステム
サポートされるオペレーティングシステム | バージョン |
Windows Server |
|
CentOS |
|
レッドハット |
|
Ubuntu |
|
Alibaba Cloud Linux |
|
アナリスOS |
|
Debian |
説明 Security Centerは脆弱性を検出できますが、脆弱性を修正できません。 |
SUSE |
|
キリン | キリンV10 |
オペレーティングシステムのライフサイクル
オペレーティングシステムがEOLに達すると、Security CenterはオペレーティングシステムのLinuxソフトウェアの脆弱性とWindowsシステムの脆弱性を検出または修正しなくなります。 次の表に、この制限の対象となるオペレーティングシステムを示します。 セキュリティセンターのその他の機能は影響を受けません。
オペレーティングシステムのバージョン | 公式EOL日付 | 脆弱性関連機能への影響 |
Windows Server 2003 | 2015年7月14日 | Security Centerは、2015年7月14日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Windows Server 2008 | 2020 年 1 月 14 日 | Security Centerは、2020年1月14日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Windows Server 2008 R2 | 2020 年 1 月 14 日 | Security Centerは、2020年1月14日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Windows Server 2008 SP2 | 2020 年 1 月 14 日 | Security Centerは、2020年1月14日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Windows Server 2012 | 2023年10月10日 | Security Centerは、2023年10月10日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Windows Server 2012 R2 | 2023年10月10日 | Security Centerは、2023年10月10日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Ubuntu 12.04 LTS | 2017年4月28日 | Security Centerは、2017年4月28日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Ubuntu 14.04 LTS | 2019 年 4 月 | Security Centerは、4月2019日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Ubuntu 16.04 LTS | 2021 年 4 月 | Security Centerは、4月2021日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
Ubuntu 18.04 LTS | April 2023 | Security Centerは、4月2023日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
CentOS 5 | 2017年3月31日 | Security Centerは、2017年3月31日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
CentOS 6 | 2020年11月30日 | Security Centerは、2020年11月30日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
CentOS 8 | 2021年12月31日 | Security Centerは、2021年12月31日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
レッドハット5 | 2017年3月31日 | Security Centerは、2017年3月31日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
レッドハット6 | 2020年11月30日 | Security Centerは、2020年11月30日より前に公開された脆弱性のみを検出し、パッチを適用して脆弱性を修正します。 |
脆弱性保持期間
クリーンで効率的な脆弱性管理システムを維持し、長年の脆弱性がリソースを消費するのを防ぐために、Security Centerはステータスが長期間変更されない脆弱性を自動的に削除します。
脆弱性が無効状態以外の状態にあり、脆弱性のステータスが1年以上変更されていない場合、セキュリティセンターは自動的に脆弱性を削除します。 無効状態以外の状態には、固定、修正失敗、無視、未修正、修正、および検証が含まれる。
脆弱性のステータスが脆弱性は無効になりましたに変更された後、脆弱性が無効状態のままで、期間がしきい値に達した場合、セキュリティセンターは自動的に脆弱性を削除します。 脆弱性管理の設定 パネルの 無効な脆弱性の自動削除 パラメーターを設定して、しきい値を指定できます。 詳細については、「脆弱性の表示と処理」をご参照ください。