オープンソース
情報処理推進機構、「Vuls」を用いた効率的なソフトウェアの脆弱性対策を解説した資料を公開
情報処理推進機構(IPA)は2月21日、オープンソースソフトウェア「Vuls」を用いた脆弱性対策の手順などについて解説した「脆弱性対策の効果的な進め方(ツール活用編)」を公開した。
IPAが運用している日本語版「脆弱性対策情報データベースJVN iPedia」には、累計92,674件の脆弱性対策情報の登録がある(2018年12月末時点)。また、JVN iPediaには毎月新規に1,100件超の脆弱性が登録されている。組織のシステム管理者は、膨大な脆弱性対策情報から必要な情報だけを抽出し、効率のよい作業を行うことが求められる。そこで、主に脆弱性対策情報を手動で収集しているシステム管理者を想定し、「ツール活用編」を作成した。この中では、脆弱性対策の作業フローと「Vuls」のインストール、情報収集の方法などが解説されている。収集の対象は、自組織で管理しているUNIX系サーバのソフトウェア。IPAの検証環境では、約370種のソフトウェアがインストールされているLinuxサーバに対して、Vulsのスキャンモードの1つである「fast-scan」を実行したところ、脆弱性対策情報の有無の抽出を数分で行えたという。
また、「ツール活用編」に合わせ、セキュリティ対策初心者向けに「脆弱性対策の効果的な進め方(実践編)第2版」も公開した。
(川原 龍人/びぎねっと)