脆弱性管理バイヤーズガイド

AWS環境に隠された脆弱性を追いかけるのにうんざりしていませんか? 当社のチートシートは、AWSの重大な脆弱性を特定、評価、軽減するための実行可能な手順を提供します。

トップのOSS脆弱性管理ツール

8つのオープンソースの脆弱性管理ツールとその機能(ユースケース別)

Wiz エキスパートチーム
11 分で読めます

オープンソースソフトウェア(OSS)を使用することには、ベンダーロックインの排除、使用コストの低さ、ソースコードの柔軟性など、多くの利点があります。 これらの利点が理由を説明している可能性があります エンタープライズアプリの96% どちらかの形式のオープンソースコンポーネントを持っている。 ただし、正当なユーザーとサイバー犯罪者の両方がOSSコードに簡単にアクセスして再利用できるため、脆弱性を事前に特定して解決することが重要になるため、セキュリティがOSSの潜在的な欠点です。 

セキュリティチームは、オープンソースの脆弱性スキャンツールを採用することで脆弱性に対処できます。 これらは無料で、さまざまな機能を提供しているため、最適なソリューションを選択する際にベンチマークするためのコア機能など、上位のおすすめの包括的な概要をお読みください。

OSS脆弱性管理:簡単な復習

オープンソースソフトウェアの脆弱性とは、オープンソースのライブラリやフレームワークのコードベース内にある悪用可能なセキュリティギャップや欠陥のことで、古いソフトウェア、偽造ソフトウェアやアップデート、設定ミスなどです。 オープンソースソフトウェアの脆弱性管理とは、専用の自動化されたツールを使用して、OSSコードの脆弱性を継続的にスキャンすることです。 

OSSの脆弱性管理ツールは、データ侵害や損失につながる前に脆弱性をプロアクティブに特定して解決することで、組織の攻撃対象領域を縮小することを目指しています。 これらのツールがないと、オープンソースのソフトウェアコンポーネント、依存関係、および関連する脆弱性の可視性が低いため、脆弱性を迅速に検出するのが難しくなる可能性があります。 

すべてのOSSの脆弱性と対応する更新を手動で追跡することは、面倒で非効率的な作業になる可能性があります。 幸いなことに、多数の自動化 オープンソースの脆弱性スキャナー が開発されました。 以下では、脆弱性管理ソリューションを選択する際に考慮すべき主な機能について説明します。

動的なアセット検出

企業のITインフラストラクチャが複雑化するにつれ、エンジニアリングチームは、ソフトウェアに含まれるオープンソースコードやコードを構成するためのセキュリティのベストプラクティスについて十分な知識がないまま、ソフトウェアを採用する可能性がますます高まっています。 

Example inventory of all the cloud services running in an environment

そのため、脆弱性管理ツールは、アプリ、VM、コンテナ、コンテナイメージ、データベースなど、すべてのソフトウェア資産とそのオープンソースコンポーネントを自動的に検出し、インベントリ化できる必要があります。 

SCAとSBOMの統合 

脆弱性評価には、 ソフトウェア・コンポジション解析(SCA)ソフトウェア部品表 (SBOM)は、ソフトウェア開発ライフサイクル (SDLC) にセキュリティを組み込むことで、脆弱性の検出を迅速化します。 

Configure scheduled SBOM reports for multi-resources

SCAを使用すると、DevSecOpsチームはオープンソースソフトウェアコンポーネントを項目化し、ソースコードとバイナリの脆弱性を調査し、ライセンスコンプライアンス情報を確認できます。 また、SBOMを使用して、アプリのサードパーティの依存関係、バージョン番号、リリース日、ライセンスなどを追跡し、パッチ適用が必要なコンポーネントを簡単に特定することもできます。

迅速かつ正確な脆弱性検出

プロアクティブな脆弱性検出のために、スタック全体を迅速、包括的、かつ継続的にスキャンできるツールを探してください。 エージェントレススキャンは、高速でリソース効率が高いため、便利です。 

Example of vulnerability detections aligned with the CISA KEV catalog

さらに、脆弱性の検出は正確でなければなりません。誤検知/偽陰性が少なければ少ないほど良いので、問題がないときにアラームを発したり、実際に脆弱性が存在するときに健康状態をきちんと確認したりするツールは望ましくありません。

リスクベースの優先順位付け

Example vulnerability dashboard that prioritizes issues by contextual severity

一部の脆弱性は悪用される可能性が低いか、悪用されたとしても影響がほとんどありません。 最適なツールは、特定のビジネスのコンテキストにおける脆弱性のリスクレベルを理解するツールです。 したがって、特定された脆弱性を(たとえば、全体的なリスクスコア/プロファイルに基づいて)ランク付けし、DevSecOpsエンジニアが脆弱性によってもたらされるリスクと利用可能なリソースとのバランスを取るのを支援する必要があります。

修復とアラート

Example vulnerability detection with easy-to-follow remediation instructions

たとえ小さな脅威であっても、チームを日常業務から常に遠ざけることは望ましくありません。 パッチを通じて脆弱性を自動的に解決するソリューションを選択するか、脆弱性を自動的に解決できない場合は、セキュリティエンジニアにリアルタイムで警告し、実行可能な推奨事項を提供するソリューションを選択してください。 

互換性 

互換性は、OSS ツールで問題になる場合があります。 一部のオープンソースの脆弱性スキャナーは、特定のプログラミング言語(Govulncheckなど)またはOS(Linux環境のVulsやLynisなど)向けに設計されています。 

選択するツールがソフトウェア環境と互換性があることを確認してください。

トップのOSS脆弱性管理ツール

市場にはさまざまなオープンソースの脆弱性管理ソリューションがあり、それぞれが基本的な検出から高度な検出と修復まで、さまざまな機能を提供します。 トップのオープンソースツールとその機能を、それぞれのカテゴリに分けてカバーします。 

インフラストラクチャスキャナー

手記: このセクションのツールの一般的な制限は、Web サイトとアプリの脆弱性を評価できないことです。

オープンVAS

Open Vulnerability Assessment Software(OpenVAS)は、いくつかのテストモジュールと2つの中心コンポーネント(スキャナーとマネージャー)で構成されるネットワークおよびエンドポイントの脆弱性スキャナーです。 その広範な最新の脆弱性データベースにより、正確なネットワーク脆弱性検出が可能になります。 

OpenVASには無料版と有料版がありますが、主な違いは提供される機能と使用されるネットワーク脆弱性テスト(NVT)フィードです。有料版にはGreenbone Enterpriseフィードが付属し、無料版にはGreenboneコミュニティフィードが付属しています。 

機能(無料版)

  • 自動資産検出、インベントリ、タグ付け 

  • ローカルまたはクラウドベースのインストール

  • リスクの優先順位付け

  • 古いソフトウェア、Webサーバーの脆弱性、および設定ミスのフラグ付け

  • グラフィカルでインタラクティブなWebインターフェース

ProsCons
User-friendly management console Complicated to use; there may be a learning curve for some
Extensive vulnerability reportsLimited coverage; scans only basic endpoints and networks
Customization and integration optionsIdeal for Linux and Windows OSes only
Active community; better peer support and regular updates

オープンSCAP

Open Security Content Automation Protocol(OpenSCAP)は、米国が管理するLinuxベースのプラットフォームです。 米国国立標準技術研究所 (NIST) は、SCAP 標準を実装します。 OpenSCAP Base、Workbench、Daemonなどの一連のモジュールで構成されており、脆弱性スキャンとコンプライアンスの強制を対象としています。 

脆弱性スキャナであるOpenSCAP Baseは、Common Platform Enumeration(CPE)タグと脆弱性データベースから取得したタグを比較することで脆弱性を検出します。 OpenSCAPの最新バージョンは、Windowsもサポートしています。

顔立ち

  • セキュリティの設定ミス検出

  • コンプライアンス評価

  • 深刻度ランキング

  • コマンドラインスキャン 

  • グラフィカルWebインターフェース 

ProsCons
Integration with multiple open-source vendors including Red HatDifficult to set up and use
Vulnerability assessment in secondsLimited support for Windows
Routine and on-demand scansNo support for non-Linux and Windows OSes

ナマム

Network Mapper(Nmap)は、Windows、Linux、macOS、およびFreeBSDシステム用のコマンドラインネットワークおよびポート脆弱性スキャナーです。 Nmapは、オンライン/オフラインホスト、オープン/クローズドポート、ファイアウォールなど、および関連する脆弱性を発見するために、さまざまなパケットタイプをターゲットネットワークに送信します。 

顔立ち

  • ホストアドレス、サービス、OS の自動検出 

  • IP パケットによるホストとサービスのスキャン

  • 500+スクリプトによる高度な脆弱性評価

  • バージョン検出

  • TCP/IP/OSフィンガープリント

  • DNS クエリ

ProsCons
Highly extensible with built-in scriptsLimited user interface; only recently introduced
Multiple output formats including normal, interactive, grepable, etc.Susceptible to detection and blocking due to excessive traffic and noise generation
Customizable network scansNo graphical network maps
Fast and accurate vulnerability detection

ニクト

Niktoは、脆弱性チェックを実行するためのコマンドラインインターフェイスを備えたWebサーバースキャナーです。 さまざまな種類のサーバー内のソフトウェアバージョンの脆弱性と悪意のあるプログラムを発見し、古いソフトウェアを自動的に更新します。 

また、サーバーの設定ミスをチェックし、Cookie をキャプチャして Cookie ポイズニングを検出します。 最新バージョンのNikto 2.5は、IPv6をサポートしています。

顔立ち

  • 7,000+の危険なファイル/ CGIのテスト

  • 1250+の古いサーバーバージョンと270+のバージョン固有の脆弱性を検出します 

  • Perl/NetSSL for WindowsおよびOpenSSL for UnixシステムによるSSLをサポート 

  • サブドメインと資格情報の推測

  • プレーンテキスト、XML、SQL、JSONなどの形式でのレポート 

  • Nginx、Apache、Lighttpd、LiteSpeedなどの複数のWebサーバーのサポート

ProsCons
Regular and automatic scan of plugin updatesFree software, but data files for running the program are paid
Template engine for customized reportsRequires some expertise
Mutation techniques and content hashing for minimizing false positivesLengthy scan durations
Anti-intrusion detection softwareLimited to web servers; does not scan the entire software environment
Authorization guessing for all directories, including root, parent, and subdirectories

ウェブサイトとウェブアプリのスキャナー

これらのツールはトップのWebアプリスキャナーですが、ネットワークとインフラストラクチャの脆弱性を検出することはできません。

ワピティ 

Wapitiは、アプリ/Webサイトの脆弱性スキャナーおよびペネトレーションテスターです。 GETおよびPOSTのHTTP侵入攻撃方法をサポートしています。 

Wapiti は、アプリのコードベースを調べて脆弱性を発見するのではなく、ファジング手法を使用して脆弱なスクリプトを検出します。 また、ユーザーは異常しきい値を設定し、それに応じてアラートを送信することもできます。

顔立ち

  • Web アプリのフィンガープリント

  • 複数のSQLインジェクション手法の発見

  • HTTP ヘッダーのセキュリティ

  • クロスサイトリクエストフォージェリ(CSRF)、サーバーサイドリクエストフォージェリ(SSRF)、キャリッジリターンラインフィード(CRLF)インジェクション、およびブルート フォース ログイン検出

  • 中間者 (MITM) プロキシのサポート

ProsCons
Scans folders, domains, pages, specific URLsNo graphical user interface
Five vulnerability report formats: TXT, JSON, HTML, XML, and CSVIdeal for experienced users only
Color-based vulnerability reporting
Customizable verbosity levels
Supports pausing and resuming pen testing and vulnerability scans

sqlmapの

SQLMapは、主にデータベースの脆弱性スキャンおよび侵入テストツールです。 その強力なペネトレーションテスターは、スキャン中のノイズを最小限に抑え、さまざまなデータベースの脆弱性タイプを検出します。 

DBMSの認証情報、データベース名、IPアドレスなどを使用して、データベースに接続する際のSQLインジェクションをバイパスし、誤検知を最小限に抑えます。

顔立ち

  • スタッククエリを含むさまざまなSQLインジェクション手法をカバー

  • PostgreSQL、MySQL、Oracle など、複数のデータベースサービスのサポート 

  • パスワードハッシュ形式の検出

ProsCons
Accurate vulnerability detection with advanced detection engineCommand-line tool only
Dictionary-based password crackingHas a steep learning curve
User, role, table, column, and database enumerationLimited to database vulnerability scans

Burp スイート

Burp Suiteは、脆弱性スキャンと侵入テストのためのBurp Spider、Burp Proxy、Burp Intruderなどの一連のツールを含むWebアプリセキュリティプラットフォームです。 

無料のBurp Suite Community Editionと有料のBurp Suite Enterprise Editionがあり、パフォーマンスと機能の点で異なります。 

機能(無料版)

  • CI/CD インテグレーション

  • コンテナのスキャン

  • ウェブサイトのトラフィックを追跡するためのげっぷプロキシ

  • Burp Spider でアプリのクロールとアプリデータのデコードが可能 

  • Burp Repeaterは、SQLインジェクションなどの入力ベースの脆弱性を検出します。 

ProsCons
Easy to set upManual web app testing, not automated
Standard software and Kubernetes Helm chart deploymentLimited number of features compared to other open-source tools
Compliance auditsConsiderably slower with large workloads
Intrusion detection only, cannot conduct pen testing

スキップフィッシュ

Skipfishは、コンテンツ管理システム(CMS)向けの自動化されたWebサイト、Webアプリ、および侵入テストソリューションです。 Skipfishは、再帰的なクローリングと辞書ベースのプローブを使用して、脆弱性の経路と公開されたディレクトリ/パラメータを表示するインタラクティブな注釈付きサイトマップを作成します。

顔立ち

  • 15 +侵入テストモジュールがあります

  • サーバーサイドクエリ、XML/XPath、シェルコマンドインジェクション(ブラインドインジェクションベクトルを含む)を発見

  • 無効なSSL証明書と問題のあるキャッシュディレクティブを明らかにする

  • さまざまな列挙型攻撃タイプを追跡します

ProsCons
Written in C; consumes minimal CPU resourcesNo database of known vulnerabilities
Fast scans; runs 2,000 requests per secondOnly ideal for Kali Linux platforms
Heuristics approach that minimizes false positivesLimited to penetration testing; does not resolve vulnerabilities
Intrusive scans; may temporarily disrupt website activity during scans

最適なツールの選択

上記の上位のオープンソース ツールには、リスクの低いデータを持つ小規模企業に最適な機能が備わっています。 ただし、より機密性の高いデータとインフラストラクチャを持つ企業の場合、OSS ツールには、複雑さ、互換性の問題、機能の制限など、いくつかの重要な制限があります。 

オープンソースのツールでは、企業のスタック全体の包括的な脆弱性評価が提供されていないため、組織はクラウドを完全にカバーするために、そのようなツールを多数統合しなければならない場合があります。 さらに、必要なすべての統合に互換性がある場合でも(これは非常に困難な場合があります)、複数のソリューションを使用すると複雑さが増し、非効率性につながる可能性があります。 

Wiz'脆弱性管理に対するアプローチ

その一部として's クラウドネイティブ・アプリケーション保護プラットフォームWiz'の脆弱性管理ソリューションは、さまざまなクラウド環境とワークロードの脆弱性を管理および軽減するように設計された、堅牢でエージェントレスのクラウドネイティブなアプローチを提供します。 それ'のハイライトは次のとおりです。

  • エージェントレステクノロジー: Wiz は、エージェントレス スキャン アプローチを使用して、1 回限りのクラウドネイティブ API デプロイを活用します。 この方法により、エージェントをデプロイすることなく、さまざまな環境全体で継続的なワークロード評価が可能になるため、メンテナンスが簡素化され、完全なカバレッジが確保されます。

  • 包括的なカバレッジ: このソリューションは、複数のクラウドプラットフォーム(AWS、GCP、Azure、OCI、Alibaba Cloud、VMware vSphereなど)とテクノロジー(VM、サーバーレス機能、コンテナ、コンテナレジストリ、仮想アプライアンス、マネージドコンピューティングリソース)にわたる広範な脆弱性の可視性を提供します。 70,000を超える脆弱性をサポートし、30+オペレーティングシステムをカバーし、CISA KEVカタログと数千のアプリケーションが含まれています。

  • コンテキストに応じたリスクベースの優先順位付け: Wiz は、環境リスクに基づいて脆弱性に優先順位を付けるため、チームはセキュリティ体制に最も大きな影響を与える修復に集中できます。 これにより、脆弱性を複数のリスク要因 (外部からの露出や設定ミスなど) と関連付けて、最初に対処すべき最も重要な脆弱性を表面化することで、アラートの疲労を軽減します。

  • 詳細な評価: このソリューションは、VM、コンテナ、サーバーレス機能など、さまざまな環境で、ネストされた Log4j 依存関係などの隠れた脆弱性を検出できます。 これにより、最も深く埋もれている脆弱性も確実に発見されます。

Uncover Vulnerabilities Across Your Clouds and Workloads

Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.

デモを見る