システムの脆弱性は、攻撃者がシステムに侵入する機会を提供します。 脆弱性を早期に修正して、潜在的なセキュリティリスクを軽減できます。 Security Centerは、システムの脆弱性に関する詳細情報を提供し、数回クリックするだけで一部の脆弱性を修正できます。 これにより、システムセキュリティを効率的に管理できます。 このトピックでは、脆弱性を表示および処理する方法について説明します。
前提条件
脆弱性スキャンが完了しました。 詳細については、「脆弱性のスキャン」をご参照ください。
脆弱性スキャン結果を表示
すべての脆弱性を表示する
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
脆弱性管理 ページで、脆弱性スキャンの結果を表示します。
脆弱性スキャン結果に関する統計情報を表示します。
脆弱性スキャン結果に関する統計情報を次の表に示します。
いいえ
説明
①
アセットで検出されたリスクの高い脆弱性のセキュリティ情報の総数。 1つのサーバーに対して複数のセキュリティ情報が一致する場合、複数のセキュリティ情報がカウントされます。
②
アセットで検出されたLinuxソフトウェアの脆弱性のセキュリティ情報の数。 各脆弱性タイプの横の番号は、アセットで検出されたこのタイプの脆弱性のセキュリティ情報の数を示します。
③
セキュリティ情報に含まれる脆弱性が検出されたアセットの数。 数字の表示色は、脆弱性を修正する優先度を示します。 次のリストでは、さまざまな色の数字を説明します。
赤: 高優先度の脆弱性が検出されたサーバーの数。
オレンジ: 中程度の優先度の脆弱性が検出されたサーバーの数。
グレー: 低優先度の脆弱性が検出されたサーバーの数。
優先度の高い脆弱性をできるだけ早く修正することを推奨します。 詳細については、「脆弱性を修正する優先順位」をご参照ください。
脆弱性スキャン結果の概要を表示する
脆弱性管理 ページの上部で、脆弱性に関する全体的な情報を表示できます。
パラメーター
説明
推奨修正 (CVE)
[推奨修正 (CVE)] の下の番号をクリックして、[推奨修正 (CVE)] パネルに移動します。 このパネルでは、優先度の高いすべての種類の脆弱性のセキュリティ情報を表示できます。 脆弱性を修正する方法の詳細については、「脆弱性修正機能の購入」をご参照ください。
Vulサーバー
[Vulサーバー] の下の番号をクリックして、[ホスト] ページの タブに移動します。 [サーバー] タブで、脆弱性が検出されたサーバーの詳細を表示できます。
VFixing
[修正] の下の番号をクリックして、[修正] パネルに移動します。 このパネルでは、修正中の脆弱性のリストと修正の進行状況を表示できます。
総処理脆弱性
[Total Handled Vulnerabilities] の下の数字をクリックして、[Total Handled Vulnerabilities] パネルに移動します。 このパネルでは、修正されたすべての脆弱性の影響を受けるアセットのリストと関連情報を表示できます。
アイコンの上に
マウスを置くと、今日修正された脆弱性の数が表示されます。 [詳細] をクリックすると、今日修正された脆弱性の詳細なリストが [処理済み脆弱性] ページに表示されます。開示された脆弱性
[開示された脆弱性] の下の数字をクリックして、[検出可能な脆弱性] パネルに移動します。 このパネルでは、Security Centerで検出できる脆弱性に関する詳細のリストを表示できます。 詳細には、CVE ID、脆弱性名、脆弱性検出方法、脆弱性開示時間、および脆弱性タイプが含まれます。 このパネルでは、脆弱性リストの上にCVE IDまたは脆弱性名を入力して脆弱性を検索することもできます。 この方法で、セキュリティセンターで脆弱性を検出できるかどうかを確認できます。 脆弱性のCVE IDをクリックすると、Alibaba Cloud脆弱性ライブラリの脆弱性に関する詳細を表示できます。
防御されたアプリケーションの脆弱性
[保護されたアプリケーションの脆弱性] の番号をクリックして、 ページに移動し、アプリケーション保護機能によって保護された脆弱性の統計を表示します。
説明アプリケーション保護のクォータを購入したユーザーのみが、これらの統計を表示できます。 機能の購入方法の詳細については、「アプリケーション保護機能の使用」をご参照ください。
セキュリティ情報を表示
脆弱性タイプのタブをクリックして、アセット上のsecurity Centerによって検出されたタイプの脆弱性のセキュリティ情報を表示します。
説明アイコンが
セキュリティ掲示板の右側に表示されている場合、セキュリティ掲示板に含まれる脆弱性の優先順位が過去15日間に変更されているか、または最近脆弱性が開示されています。 ターゲットの脆弱性を検索する
セキュリティ情報の一覧の上にあるフィルターと検索ボックスを使用して、脆弱性の優先順位、脆弱性処理ステータス、脆弱性名、またはCVE IDによって対象の脆弱性を検索します。
脆弱性の詳細を表示
セキュリティ掲示板をクリックして、詳細パネルに移動します。 パネルでは、脆弱性に関する詳細と未処理の脆弱性のリストを表示できます。 未処理の脆弱性のリストには、脆弱性が検出されたすべてのアセットが表示されます。 1つのサーバー上の複数のプロセスが脆弱性に一致する場合、未処理の脆弱性のリストには複数のエントリが表示されます。
詳細については、「Linuxソフトウェアの脆弱性に関するセキュリティ情報の詳細を表示するパネルのパラメーター」をご参照ください。
詳細パネルで、保留中の脆弱性 タブをクリックして、ステータス 列の脆弱性の修正ステータスを表示できます。
処理済みかどうか
ステータス
説明
処理済み
固定
脆弱性は修正されました。
修正失敗
セキュリティセンターは脆弱性の修正に失敗しました。 脆弱性を含むファイルが変更されているか、存在しない可能性があります。
無視
脆弱性は無視されます。 Security Centerは、この脆弱性に対するアラートを生成しなくなりました。
異常
脆弱性は指定された期間内に検出されませんでした。 次のリストは、さまざまな種類の脆弱性に対して脆弱性が無効と見なされるまでの期間を示しています。
Linuxソフトウェアの脆弱性とWindowsシステムの脆弱性: 3日間
Web-CMSの脆弱性: 7日
アプリケーションの脆弱性: 30日
緊急の脆弱性: 90日
未処理
未修正
脆弱性は修正されません。
検証中
脆弱性を手動で修正した後、[操作] 列の [検証] をクリックして、脆弱性が修正されているかどうかを確認できます。 [検証] をクリックすると、脆弱性のステータスが [未修正] から [検証] に変わります。
セキュリティ情報の一覧をエクスポートします。
脆弱性リストの
右上隅にあるアイコンをクリックして、セキュリティ情報のリストをエクスポートします。
悪用可能な脆弱性の表示
Security Centerの悪用可能な脆弱性モデルは、アリババクラウドの脆弱性スコアリングシステム、時間スコア、環境スコア、資産重要度スコア、概念実証 (PoC) 、悪用可能性、および脆弱性の重大度に基づいて脆弱性を評価する。 このようにして、悪用可能な脆弱性が自動的に識別されます。 実際のリスク脆弱性のみを表示をオンにして、悪用可能な脆弱性をできるだけ早く修正し、修正の有効性を向上させることができます。 実際のリスク脆弱性のみを表示をオフにすると、すべての脆弱性が表示されます。 次の操作を実行して、[実際のリスクの脆弱性のみを表示] をオンにします。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、を選択します。
脆弱性管理 ページで、[実際のリスク脆弱性のみを表示] をオンにします。
スイッチをオンにすると、悪用可能な脆弱性がSecurity Centerコンソールに表示されます。
脆弱性修正機能を購入する
Advanced、Enterprise、またはUltimateエディションを使用する場合は、この機能を購入する必要はありません。 アカウント内の保護されたサーバーで検出された脆弱性を修正するための無制限のクォータが提供されます。
基本版、付加価値プラン版、またはアンチウイルス版を使用する場合は、従量課金またはサブスクリプションの課金方法に基づいて脆弱性修正機能を購入する必要があります。
従量課金 (推奨): 脆弱性管理 ページで、購入 をクリックして脆弱性修正機能を購入します。 詳細については、「課金の概要」をご参照ください。
サブスクリプション: 脆弱性修正機能のクォータを購入します。 詳細については、「Security Centerの購入」または「Security Centerのアップグレードとダウングレード」をご参照ください。
従量課金方法に基づいて脆弱性修正機能のクォータを購入した場合、脆弱性修正機能を使用して、Linuxソフトウェアの脆弱性とWindowsシステムの脆弱性のみを修正できます。
従量課金方法を無効にする場合は、脆弱性管理 ページの 従量課金制の脆弱性修復 セクションで 使用を停止する をクリックします。
脆弱性の処理
Security Centerは、さまざまな種類の脆弱性を修正できます。 Security Centerのさまざまなエディションの脆弱性修正機能の詳細については、「検出および修正可能な脆弱性の種類」をご参照ください。
脆弱性を修正すると、リスクが発生する可能性があります。 影響を最小限に抑えるため、オフピーク時に脆弱性を修正することを推奨します。
Security Center コンソールにログインします。 上部のナビゲーションバーで、管理するアセットのリージョンを選択します。 中国 または 全世界 (中国を除く) を選択できます。
左側のナビゲーションウィンドウで、.
脆弱性管理 ページで、脆弱性を処理します。
Linuxソフトウェアの脆弱性、Windowsシステムの脆弱性、およびWeb CMSの脆弱性を修正
セキュリティセンターでは、脆弱性を修正および無視できます。 この例では、Linuxソフトウェアの脆弱性が使用されます。 次のリストでは、Linuxソフトウェアの脆弱性を修正して無視する方法について説明します。
修正
脆弱性を修正する必要があることを確認した場合は、Security Centerコンソールのクイック修正機能を使用するか、必要なサーバーにログオンして脆弱性を修正できます。
クイックフィックス (推奨)
セキュリティセンターでは、クイック修正機能を使用して、サーバー上で一度に1つ以上のLinuxソフトウェアの脆弱性、Windowsシステムの脆弱性、およびWeb-CMSの脆弱性を修正できます。
[Linuxソフトウェアの脆弱性] タブのセキュリティ情報リストで、必要なセキュリティ情報を見つけてクリックします。
表示されるパネルで、[未処理の脆弱性] タブをクリックします。 脆弱性リストで必要なサーバーを見つけ、[操作] 列の [修正] をクリックします。 [修正] ダイアログボックスで、スナップショットの自動作成と修復 または [スナップショットのバックアップと修正をスキップ] を選択し、[今すぐ修正] をクリックします。
複数のサーバーを選択し、脆弱性リストの下にある [修正] をクリックすると、選択したサーバーの脆弱性を同時に修正できます。
警告ほとんどの場合、クイック修正方法を使用する場合は、システムカーネルのバージョンを更新するか、脆弱性が検出されたソフトウェアをアップグレードする必要があります。 ただし、システムカーネルのバージョンを更新したり、ソフトウェアをアップグレードしたりすると、非互換性の問題が発生し、ビジネスに影響を与える可能性があります。 システムのスナップショットを作成するには、スナップショットの自動作成と修復 を選択することを推奨します。 作成したスナップショットを使用して、脆弱性を修正する前の時間にシステムをロールバックできます。 これにより、ビジネスをすばやく復元できます。
手動固定
[Linuxソフトウェアの脆弱性] タブのセキュリティ情報リストで、必要なセキュリティ情報を見つけ、[CVE ID] 列で修正する脆弱性のCVE IDをクリックして、Alibaba Cloud脆弱性ライブラリに移動します。
[ソリューション] セクションで、脆弱性の解決策を確認します。 次に、必要なサーバーにログインして、ソリューションに基づいて脆弱性を修正します。
重要脆弱性修正プロセス中にリスクが発生する可能性があります。 脆弱性を修正する前に、サーバー上のデータをバックアップすることをお勧めします。 サーバーがECS (Elastic Compute Service) インスタンスの場合、インスタンスのスナップショットを作成してデータをバックアップできます。 詳細については、「ディスクのスナップショットの作成」をご参照ください。
脆弱性が修正されたら、Security Centerコンソールに戻ります。 [脆弱性] ページで、固定された脆弱性のセキュリティ情報を見つけてクリックし、脆弱性の詳細パネルに移動します。 [未処理の脆弱性] タブの脆弱性リストで、脆弱性を修正したサーバーを見つけ、[操作] 列の [検証] をクリックして、脆弱性が正常に修正されたかどうかを確認します。 脆弱性が正常に修正されると、脆弱性のステータスはfixedに変わります。
無視してホワイトリストに追加
現在のアセットの脆弱性を修正する必要がないことを確認した場合は、Security Centerが提供する [無視] および [ホワイトリストに追加] 機能を使用できます。 この例では、Linuxソフトウェアの脆弱性が使用されます。 Linuxソフトウェアの脆弱性を無視してホワイトリストに追加するには、次の操作を実行します。
無視する
脆弱性管理 ページの [Linuxソフトウェアの脆弱性] タブのセキュリティ情報リストで、必要なセキュリティ情報を見つけてクリックします。
表示されるパネルの [未処理の脆弱性] タブの脆弱性リストで、検出された脆弱性を無視する1つ以上のサーバーを選択し、脆弱性リストの下の [無視] をクリックします。 表示されるダイアログボックスで説明を入力し、[OK] をクリックします。
オプションです。 脆弱性管理ページに戻ります。 処理済み脆弱性の累計 タブの番号をクリックして、無視された脆弱性のリストを表示します。
ホワイトリストに追加
[Linuxソフトウェアの脆弱性] タブのセキュリティ情報リストで、ホワイトリストに追加する1つ以上の脆弱性を選択し、リストの下部にある [ホワイトリストに追加] をクリックし、ポップアップダイアログボックスにコメントを入力して、[確認] をクリックします。
[脆弱性] ページの [設定] をクリックし、[設定] ページの [脆弱性ホワイトリストの設定] タブで、ホワイトリストに追加されたすべての脆弱性のリストを表示できます。
(オプション) [設定] ページの [脆弱性ホワイトリスト設定] タブで [ルールの作成] をクリックし、[脆弱性ホワイトリストルールの作成] ページでホワイトリストに追加する脆弱性を選択して、[確認] をクリックすることもできます。
アプリケーションの脆弱性と緊急の脆弱性を修正
アプリケーションの脆弱性と緊急の脆弱性は、迅速な修正をサポートしません。 これらのタイプの脆弱性を修正する場合は、脆弱性が検出されたサーバーにログインし、脆弱性の詳細ページに記載されている修正の提案に基づいて手動で脆弱性を修正する必要があります。 この例では、アプリケーションの脆弱性が使用されます。 次のリストでは、アプリケーションの脆弱性を修正および無視する方法について説明します。
修正
脆弱性を修正する必要があることを確認した場合は、必要なサーバーにログオンして、脆弱性を手動で修正できます。
[アプリケーションの脆弱性] タブのセキュリティ情報リストで、必要なセキュリティ情報を見つけてクリックし、脆弱性の詳細と提案を表示します。
オプションです。 [アプリケーションの脆弱性] タブで、必要なセキュリティ情報を見つけ、[操作] 列の [保護の有効化] をクリックします。 表示されるパネルで、影響を受けるアセットをアプリケーション保護機能に追加します。 資産は、セキュリティ情報に関連する脆弱性から保護されています。 詳細については、「アプリケーションの脆弱性の管理」をご参照ください。
表示されるパネルの 保留中の脆弱性 タブの脆弱性リストで、必要なサーバーを見つけ、[操作] 列の [詳細] をクリックします。 サーバーで検出された脆弱性に関する詳細を表示できます。
脆弱性が修正されたら、Security Centerコンソールに戻ります。 [脆弱性] ページで、固定された脆弱性のセキュリティ情報を見つけてクリックし、脆弱性の詳細パネルに移動します。 保留中の脆弱性 タブの脆弱性リストで、脆弱性を修正したサーバーを見つけ、[操作] 列の [検証] をクリックして、脆弱性が正常に修正されたかどうかを確認します。
脆弱性が正常に修正されると、脆弱性のステータスは修正済みに変わります。
ソフトウェアコンポーネントの分析に基づいてアプリケーションの脆弱性が検出された場合は、次の操作を実行して、脆弱性が正常に修正された理由を確認します。保留中の脆弱性 タブの脆弱性リストで、脆弱性を見つけ、操作する 列の [詳細] をクリックします。
この脆弱性は、次の理由により正常に修正される可能性があります。
脆弱性検出ルールは未公開です。
プロセスは存在しません。
コンポーネントが存在しません。
コンポーネントが更新されます。 この理由が表示されると、コンポーネントの現在のバージョンも表示されます。
オプションです。 アプリケーションの脆弱性を修正できない場合は、保留中の脆弱性 タブの脆弱性リストで脆弱性を見つけ、[操作] 列の すぐに保護する をクリックします。 その後、アプリケーション保護 ページにリダイレクトされます。 関連するアプリケーションプロセスをアプリケーション保護機能に追加できます。 詳細については、「アプリケーション保護機能の使用」をご参照ください。
アプリケーション保護機能は、アプリケーションの脆弱性、ゼロデイの脆弱性、およびメモリ内のWebシェルを悪用する攻撃から効果的に防御できます。 次のリストは、保護シナリオに基づいた影響を受ける資産のステータスを示しています。
アプリケーションの脆弱性の影響を受けるアセットが自動アクセスモードでアプリケーション保護機能に追加された場合、アセットの [操作] 列に [保護] が表示されます。
アプリケーションの脆弱性の影響を受けるアセットが手動アクセスモードでアプリケーション保護機能に追加されている場合は、[操作] 列の 認証 をクリックするか、アプリケーションの脆弱性を再スキャンします。 次に、[操作] 列に [保護] が表示されます。
無視してホワイトリストに追加
現在のアセットの脆弱性を修正する必要がないことを確認した場合は、[無視] および [ホワイトリストに追加] 機能を使用できます。 その後のスキャンでは、ホワイトリストに追加された脆弱性は報告されません。 この例では、アプリケーションの脆弱性が使用されます。 アプリケーションの脆弱性を無視するには、次の操作を実行します。
説明アプリケーションの脆弱性を無視するとは、基本的にプロセスを無視します。 脆弱性を無視すると、新しいプロセスの開始時に脆弱性が再び検出される可能性があります。 新しい脆弱性を生成したくない場合は、対象の脆弱性をホワイトリストに追加することをお勧めします。
無視する
[脆弱性] ページの [アプリケーションの脆弱性] タブのセキュリティ情報リストで、必要なセキュリティ情報を検索してクリックします。
表示されるパネルの [未処理の脆弱性] タブの脆弱性リストで、検出された脆弱性を無視する1つ以上のサーバーを選択し、脆弱性リストの下の [無視] をクリックします。
[Vulnerabilities] ページに戻り、[Total Handled Vulnerabilities] の下にある番号をクリックします。 [処理済み脆弱性の合計] ページの [アプリケーションの脆弱性] タブで、無視されたアプリケーションの脆弱性の詳細を表示できます。
ホワイトリストに追加
[脆弱性] ページの [アプリケーションの脆弱性] タブで、ホワイトリストに追加する1つ以上の脆弱性を選択し、リストの下部にある [ホワイトリストに追加] をクリックし、ポップアップダイアログボックスにコメントを入力して、[確認] をクリックします。
説明また、[設定] ページの [脆弱性ホワイトリスト設定] タブで [ルールの作成] をクリックし、[脆弱性ホワイトリストルールの作成] ページでホワイトリストに追加する脆弱性を選択して、[確認] をクリックします。
[脆弱性] ページで [設定] をクリックします。 [設定] パネルの [脆弱性ホワイトリストの設定] タブで、ホワイトリストに追加されたすべての脆弱性のリストを表示できます。
Linuxソフトウェアの脆弱性に対するセキュリティ情報の詳細を表示するパネルのパラメータ
パラメーター | 説明 |
CVE ID | 脆弱性のCVE ID。 CVEシステムは、公知の情報セキュリティの脆弱性および露出に対する参照方法を提供する。 CVE-2018-1123などのCVE IDを使用して、CVEと互換性のあるデータベースの脆弱性修正に関する関連情報を照会できます。 これにより、セキュリティの問題を解決できます。 |
影響 | 脆弱性の共通脆弱性スコアリングシステム (CVSS) スコア。 CVSSスコアは、広く受け入れられている業界標準に従い、脆弱性のいくつかの属性に依存する式を使用して計算されます。 スコアは、脆弱性の重大度を判定するために使用される。 スコアを使用して、脆弱性を修正する優先度を決定できます。 次のリストでは、CVSS v3.0の重大度評価スケールについて説明します。
|
影響を受ける資産 | 脆弱性の影響を受けるアセットに関する情報。 情報には、アセットのパブリックIPアドレスとプライベートIPアドレスが含まれます。 |
緊急レベル | 脆弱性の優先度。CVSSスコアと脆弱性の重要度に基づいて計算されます。 次の項目は優先順位を説明します。
|
詳細 | [脆弱性] ページの [脆弱性] リストで脆弱性名をクリックします。 脆弱性の詳細。 [未処理の脆弱性] タブの [操作] 列で 詳細 をクリックし、影響を受けるアセット、修正コマンド、影響の説明などの詳細を表示します。
|
