セキュリティの脆弱性はサイバー攻撃の主要な侵入経路であり、データ漏洩やビジネスの中断につながる可能性があります。Security Center は、アセット内の Linux Software Vulnerability、Windows System Vulnerability、Web-CMS Vulnerability、Application Vulnerability、および 緊急の脆弱性 を発見するための脆弱性スキャンを提供します。これにより、攻撃が発生する前にリスクを特定して修正し、セキュリティ体制を向上させることができます。
脆弱性スキャンの仕組み
Security Center は 2 つの検出メソッドを使用します:
ソフトウェア構成分析 (パッシブ検出):Security Center エージェントがサーバーからソフトウェアのバージョンや依存ライブラリに関する情報を収集し、脆弱性データベースと比較します。このプロセスはソフトウェアのメタデータのみを分析するため、業務システムのパフォーマンスには影響しません。
Web スキャナー (アクティブ検証):Web スキャナーは、インターネットからアプリケーションサービスに対して特定の Proof-of-Concept (POC) リクエストを送信し、攻撃動作をシミュレートして脆弱性を確認します。このメソッドにより、リモートコマンド実行や SQL インジェクションなどの高リスクな脆弱性を検出できます。すべてのリクエストは無害なプローブであり、システムに実際の損害を与えることはありません。
説明現在、Web スキャナーは、シンガポールデータセンターでホストされている Outside Chinese Mainland リージョンのアセットには対応していません。
注意事項
Subscription
エディション
手動スキャン
自動 (定期) スキャン
Enterprise および Ultimate
すべて
Advanced
アプリケーションの脆弱性 を除くすべての脆弱性。
Basic、Value-added Plan、および Anti-virus
緊急の脆弱性 のみ。
Linux Software Vulnerability、Windows System Vulnerability、および Web-CMS Vulnerability
Pay-as-you-go
保護レベル
手動スキャン
自動 (定期) スキャン
Host Protection および Hosts and Container Protection
すべて
Unprotected および Antivirus
緊急の脆弱性 のみ。
Linux Software Vulnerability、Windows System Vulnerability、および Web-CMS Vulnerability
ネットワークホワイトリストの設定
Web スキャナーがサーバーにアクセスし、アクティブ検証 (POC) を実行できるようにするには、Security Center のスキャン IP アドレス範囲 47.110.180.32/27 (47.110.180.32 から 47.110.180.63) をセキュリティグループとネットワークファイアウォールのホワイトリストに追加する必要があります。
Security Center のスキャン IP アドレスをホワイトリストに追加しない場合、Web スキャナーのアクティブ検証リクエストがブロックされる可能性があります。これにより、アプリケーションの脆弱性や緊急の脆弱性の検出が妨げられたり、リクエストが攻撃として誤って報告されたりする可能性があります。
POC 検証リクエストには、アプリケーションおよび緊急の脆弱性検出に使用される補助ドメイン s0x.cn が含まれる場合があります。これによりアラートが生成された場合は、アラートを無視するか、アラートのホワイトリストルールを作成することができます。
セキュリティグループの設定
ご利用のサーバーが ECS インスタンスの場合、詳細な手順については「セキュリティグループの管理」をご参照ください。以下のパラメーターを使用します:
方向:インバウンド
アクション:許可
プロトコルタイプ:TCP
ポート範囲:1-65535
ソース:47.110.180.32/27
ファイアウォールホワイトリストの設定
ご利用のサーバーが Web Application Firewall (WAF) を使用している場合、詳細な手順については「特定のリクエストを許可するホワイトリストルールの設定」をご参照ください。以下のパラメーターを使用します:
一致フィールド:IP
ロジック:所属
一致コンテンツ:47.110.180.32/27
スキップする検出モジュール:すべて
脆弱性スキャンの実行
Security Center は 2 つのスキャンメソッドを提供します:
手動スキャン:サーバーの脆弱性ステータスを即座に評価するために使用します。
自動 (定期) スキャン:自動化された継続的な脆弱性監視のために、定期的なタスクを設定します。
スキャンが開始されると、システムはスキャンタスクを生成し、バックグラウンドで実行します。スキャンの進捗状況と結果は、「タスク管理」で確認できます。
手動スキャン
コンソールへのログイン
Security Center コンソールにログインします。左側のナビゲーションウィンドウで、リスクガバナンス > 脆弱性管理 を選択します。コンソール左上で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
スキャンの実行
脆弱性管理 ページで、Quick Scan をクリックしてすべてのサーバーをスキャンします。表示される 脆弱性スキャン ダイアログボックスで、スキャンする脆弱性の種類を選択し、OK をクリックします。
説明特定のサーバーをスキャンするには、ホストアセット ページに移動し、目的のサーバーを選択します。ページ下部のパネルで Security Check をクリックし、ダイアログボックスで Vulnerabilities を選択します。
自動 (定期) スキャン
自動スキャンでは、2 つの異なるスケジューリングメソッドが使用されます:
デフォルトサイクル (設定不可)
対象の脆弱性:Linux Software Vulnerability、Windows System Vulnerability、および Web-CMS Vulnerability。
デフォルトのスキャンサイクル:
Subscription
Advanced、Enterprise、および Ultimate:1 日 1 回。
Basic、Value-added Plan、および Anti-virus:2 日に 1 回。
Pay-as-you-go
Host Protection および Hosts and Container Protection:1 日 1 回。
Unprotected および Antivirus:2 日に 1 回。
ユーザー定義サイクル
対象の脆弱性:Application Vulnerability および 緊急の脆弱性。
対象エディション:
Subscription:Advanced、Enterprise、および Ultimate。
Pay-as-you-go:Host Protection および Hosts and Container Protection。
スキャンを設定するには、以下の手順に従います:
コンソールへのログイン
Security Center コンソールにログインします。左側のナビゲーションウィンドウで、リスクガバナンス > 脆弱性管理 を選択します。コンソール左上で、アセットが配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland。
脆弱性管理 ページで、右上隅の 脆弱性管理の設定 をクリックします。必要に応じて設定を構成します:
設定
説明
脆弱性スキャンスイッチ
異なる脆弱性タイプ (Linux Software Vulnerability、Windows System Vulnerability、Web-CMS Vulnerability、Application Vulnerability、および 緊急の脆弱性) のスキャンを有効または無効にします。スイッチを有効にした後、[管理] をクリックして、その脆弱性タイプのスキャン範囲 (有効なサーバー) を指定できます。
YUM/APT ソースの設定
有効にすると、Alibaba Cloud 公式の YUM/APT ソースが Linux の脆弱性修正に優先的に使用され、修復の成功率が大幅に向上します。
緊急脆弱性スキャンサイクル
緊急脆弱性スキャンタスクの実行頻度を設定します。
デフォルトのスキャンウィンドウ:
Chinese Mainland:
00:00:00 (UTC+8)から07:00:00 (UTC+8)。Outside Chinese Mainland:
00:00:00 (UTC+7)から07:00:00 (UTC+7)。
対象エディション/保護レベル:
サブスクリプション:Advanced、Enterprise、および Ultimate。
従量課金:Host Protection および Hosts and Container Protection。
アプリケーションの脆弱性スキャンサイクル
アプリケーション脆弱性スキャンタスクの実行頻度を設定します。
デフォルトのスキャンウィンドウ:
Chinese Mainland:
00:00:00 (UTC+8)から07:00:00 (UTC+8)。Outside Chinese Mainland:24 時間以内に異なる時間帯でスキャンを実行するスタッガードスケジューリングメカニズムを使用します。
対象エディション/保護レベル:
サブスクリプション:Enterprise および Ultimate。
従量課金:Host Protection および Hosts and Container Protection。
無効な脆弱性の自動削除
古い脆弱性のデータクリーンアップ期間を設定します。
システムは、長期間再発せず、未処理の脆弱性を「古い」とマークし、自動的に「処理済み」リストにアーカイブします。設定されたクリーンアップ期間が経過すると、システムは情報ノイズを減らすためにそれらを永久に削除します。
説明将来、Security Center が同じ種類の脆弱性を検出した場合でも、新しいアラートが生成されます。
脆弱性スキャンレベル
スキャン対象の脆弱性のリスクレベルを設定します。システムは、選択されたレベルに一致する脆弱性のみをスキャンし、報告します。
脆弱性ホワイトリストの設定
特別なビジネスニーズや許容可能なリスクなどの理由で、対処する必要がないと確認した特定の脆弱性をホワイトリストに追加します。これらの脆弱性は、後続のスキャンで自動的に無視されます。
説明脆弱性ホワイトリストルールを追加した後、脆弱性管理の設定 パネルの 脆弱性ホワイトリストの設定 で管理 (編集または削除) できます。
スキャンタスクの表示
脆弱性管理 ページで、右上隅の タスク管理 をクリックします。
タスクの [操作] 列で、詳細 をクリックして、Affected Servers、Successful Servers、Failed Servers などのスキャンタスクの影響データを表示します。
正常にスキャンされたサーバーについては、[ステータス] 列でスキャンされた脆弱性の範囲を確認できます。スキャンが失敗した場合は、[ステータス] 列で失敗の理由を確認できます。
脆弱性の表示と対処
脆弱性管理 ページで、目的の脆弱性タイプのタブに移動し、特定の脆弱性の詳細ページを開き、指示に従って修正します。修復手順については、「脆弱性の表示と対処」をご参照ください。
アプリケーションの脆弱性 および 緊急の脆弱性 は、コンソールからのワンクリック修復をサポートしていません。脆弱性の詳細に記載されている提案に従って、サーバーにログインして手動で修正する必要があります。
サービスモデル | サービスエディション / 保護レベル | 説明 |
Subscription | Enterprise および Ultimate | Linux Software Vulnerability、Windows System Vulnerability、および Web-CMS Vulnerability の修正をサポートします。 |
Advanced | Linux Software Vulnerability および Windows System Vulnerability の修正をサポートします。 | |
Basic、Value-added Plan、および Anti-virus | 重要 ワンクリック修復機能を有効にするには、Vulnerability Fix 付加価値サービス (VAS) を購入する必要があります。手順については、「Security Center の購入」をご参照ください。 Linux Software Vulnerability および Windows System Vulnerability の修正をサポートします。 | |
Pay-as-you-go | すべての保護レベル |
制限事項
タスク管理:手動スキャンタスクを作成した後、タスク管理 ページからスキャンを停止できるようになるまで 15 分待つ必要があります。
スキャン時間:スキャンの完了に必要な時間は、アセットの数と脆弱性の複雑さによって異なります。通常、スキャンは 30 分以内に完了します。
よくある質問
スキャンの動作と結果
なぜ同じサーバーで同じ脆弱性が複数報告されるのですか?
アプリケーションの脆弱性検出は、特定の実行中のプロセスインスタンスを対象とします。サーバーが同じ脆弱性を持つプロセスの複数のインスタンス (例えば、異なるポートで起動された 2 つの同一の Tomcat サービス) を実行している場合、システムは各プロセスインスタンスに対して個別の脆弱性を報告します。脆弱なソフトウェアがインストールされていても実行されていない場合、Security Center はその脆弱性を検出しません。
Fastjson のような脆弱性のスキャン結果が時々異なるのはなぜですか?
このような脆弱性の検出は、スキャン中にそのコンポーネント (JAR パッケージなど) が「ランタイム」状態にロードされているかどうかに依存します。動的ロードモデルでは、ビジネスロジックが脆弱なコンポーネントを呼び出したときにのみ、Security Center は脆弱性を検出できます。そのため、スキャン結果は時間によって異なる場合があります。
説明これらのタイプの脆弱性の検出精度を向上させるために、定期的または複数回のスキャンを実行することを推奨します。
エージェントがオフラインになった後、なぜコンソールにはそのホストの脆弱性レコードが表示され続けるのですか?
エージェントがオフラインになると、Security Center は検出された脆弱性レコードをコンソールに保持します。ただし、これらのレコードは自動的に古くなり、修正、検証、クリアなどの操作はできなくなります。脆弱性が自動的に古くなるまでの期間は以下の通りです:
重要Security Center サービスが有効期限切れになり、7 日以内に更新されない場合にのみ、Security Center はすべてのデータを永久に削除します。
Linux Software Vulnerability および Windows System Vulnerability:3 日後に古くなります。
Web-CMS Vulnerability:7 日後に古い情報になります。
Application Vulnerability:30 日後に古くなります。
緊急の脆弱性:90 日後に古くなります。
パフォーマンスへの影響とセキュリティ
脆弱性スキャンや緊急脆弱性のアクティブ検証 (POC) は業務システムに影響しますか?
通常、影響はありません。Security Center のアクティブ検証 (POC) は、ごく少数 (1〜2) の無害なプローブリクエストを送信するだけで、いかなる形式の攻撃や破壊的なアクションも行いません。まれに、対象のアプリケーションが予期しない入力に対して非常に脆弱な場合に、最小限のリスクが存在します。
脆弱性スキャンが時々メモリ不足 (OOM) エラーを引き起こすのはなぜですか?
Security Center エージェントには設定されたメモリ制限 (デフォルトで 200 MB) があります。スキャンがこの制限を超えると、システムのリソースを節約するために、システムの OOM メカニズムが検出プロセス (ALiSecCheck) を積極的に終了させます。
説明この制限は通常、
aegisRtap0という名前のコントロールグループ (cgroup) によって管理されます。関連する OOM 情報は dmesg ログで確認できます。この動作は正常であり、システム全体でのメモリ不足とは関係ありません。ユーザーの介入は不要です。
この OOM エラーは cgroup のメモリ制限によって引き起こされるものであり、システム全体がメモリ不足であることを示すものではありません。
スキャンの範囲と機能
脆弱性スキャンの範囲は何ですか?
スキャンはシステム層とアプリケーション層の両方をカバーします:
システムレベル:Linux ソフトウェアの脆弱性と Windows システムの脆弱性。
重要Windows システムの脆弱性スキャンは、月例のセキュリティ更新プログラムに限定されます。
アプリケーションレベル:Web-CMS の脆弱性、アプリケーションの脆弱性、および緊急の脆弱性。
Security Center が検出できる脆弱性のリストはどこで確認できますか?
Security Center コンソールにログインします。
左側のナビゲーションウィンドウで 脆弱性管理 をクリックして、脆弱性スキャンページに移動します。概要セクションで、すでにサポートされている脆弱性 統計カードを見つけます。
カード上の脆弱性の総数をクリックしてリストページを開き、サポートされているすべての脆弱性とその詳細を表示できます。
Security Center は Elasticsearch などの特定の脆弱性の検出をサポートしていますか?
はい。コンソールの Application Vulnerability ページで、Elasticsearch などのサービスの脆弱性の検出結果を表示できます。
説明この機能は、Subscription サービス (Enterprise および Ultimate エディション) および Pay-as-you-go サービス (Host Protection および Hosts and Container Protection) でのみ利用可能です。現在のエディションがこの機能をサポートしていない場合は、まず アップグレードしてください。