メールマガジン

  1. サーバ構築のデージーネットTOP
  2. メールマガジン
  3. デージーネットマガジン12月号
  4. 教育機関向けへの脆弱性診断サーバ構築事例

教育機関向けへの脆弱性診断サーバ構築事例

ソリューション開発部 橋本 知里

今回は、教育機関向けに、脆弱性診断サーバのOpenVASを構築した事例です。校内で管理しているサーバの定期的な脆弱性診断が属人化しており、確実な実施ができない、新しく脆弱性検査のシステムを導入をしたいが、運用開始後の管理が不安というお悩みに対し、デージーネットからは、OSSの脆弱性診断サーバであるOpenVASの導入をご提案しました。

お客様が悩まれていた課題

お客様には以下の課題がありました。

  • 校内で管理しているサーバの定期的な脆弱性診断が属人化しており、確実な実施ができない
  • 脆弱性の検査は方法が難しい
  • 新しい脆弱性検査のシステムを導入したいが、運用開始後の管理が不安

デージーネットからの提案

デージーネットからは以下の2つを提案しました。

OpenVASを使用した脆弱性診断サーバの構築

OpenVASとは、システムの脆弱性診断を行うためのオープンソースソフトウェアです。脆弱性診断サービスなどを使わなくても、自社でシステムの脆弱性診断を行うことができます。自社でセキュリティ診断を行うことで、脆弱性への迅速な対応が可能となり、システムを常に安全な状態に保つことができます。診断をコンサルティング会社やベンダーへ依頼すると、実施のたびに費用が発生するため、結果として「頻繁にはやりづらい」と感じるケースも少なくありません。OpenVASでは、自社で必要なときに、台数や回数の制限なく診断を行えるため、こうした課題を解決することができます。実際に大手ISPでも導入されている信頼性の高いシステムです。

今回は、お客様から脆弱性診断ツールの導入を検討されていると相談をいただき、弊社で調査実績のあるOpenVASを提案しました。仕様として、診断結果がレポートとして出力可能なことや深刻度を出せること、管理UIがブラウザで操作できること等がありました。このような仕様も確認した上でOpenVASが適していると判断して、OpenVASを提案しました。

お客様に合わせた各種手順書の作成

OpenVASは機能が多いため、お客様と十分にヒアリングして必要な部分を洗い出してから、運用手順書、バージョンアップ手順書、ログ確認手順書等を作成しました。また手順書の内容を詳細に提示することで内容を明確化することができました。バージョンアップ手順書は、その時によってバージョンアップの方法が変わる可能性があるため、汎用的な内容で作成するという形で提案しました。

導入時の工夫

導入にあたって以下を工夫しました。

運用方法について認識合わせを行った

まずOpenVASを使った脆弱性診断を手動で実行する方法で運用するのか、定期的に自動実行する方法で運用するのかという確認を行いました。また、その結果をWEB上で毎回確認をするのか、それともアラート機能を使って指定の条件にマッチした時にだけ確認するのか、診断後の運用についても確認を行い、実際の運用方法について認識をすり合わせました。

マニュアル作成と運用に合わせた説明会の実施

OpenVASは、とても細かく設定を行うことができるため、全ての機能についてマニュアルを作成しても、お客様にとって不要な情報となってしまう可能性がありました。そこで、導入時に実際にどのような運用を想定しているのかお客様に詳細に確認しました。これにより、お客様で利用される機能に特化したマニュアルを作成することができ、実際の運用に合わせて説明会の実施を行うことができました。

導入後の結果

OpenVASを利用した脆弱性診断サーバを導入することで、お客様が管理しているサーバに、お客様自身で、WEB画面から直感的に脆弱性診断の実施ができるようになりました。また、定期的に脆弱性診断を実施し、出力されたレポートを確認することで、管理しているサーバが脆弱性にさらされていないか、アップデートが必要なパッケージなどはないか等、継続して検査できるようになりました。

関連ページ

構築事例:OpenVASを利用した脆弱性診断システム構築

構築事例(OpenVAS)

お客様は学校内で管理しているサーバの定期的な脆弱性診断が属人化しており、新しく脆弱性検査のシステムを導入をしたいが、運用開始後の管理が不安というお悩みをお持ちでした。デージーネットからは、OSSのOpenVASの導入を提案しました。導入後は、適切にセキュリティ対策がされているかを継続的に確認できるようになりました。

デージーネットからのお知らせ

OSSで構築する対応管理プラットフォームZammad・CuMAS紹介セミナーを開催します。

Zammad・CuMASとは、様々な問い合わせを一覧で管理できるオープンソースソフトウェアです。今回は、社内外どんな問い合わせにも対応できる、OSSの対応管理プラットフォームZammad・CuMASのそれぞれの特徴や活用方法を詳しくご紹介します。

  • 日程:2026年1月22日(木)
  • 時間:15:00〜16:00

詳細↓↓
https://www.designet.co.jp/seminar/seminar.php?seminar_id=116

KC-MailAuthのマニュアルを公開しました。

https://www.designet.co.jp/open_source/kc-mailauth/kc-mailauth_adminmanual/

パスワード単体認証のリスク対策 メール2段階認証を実現する「KC-MailAuth」無償公開

https://www.designet.co.jp/info/?id=863

無料資料ダウンロードに【phpMyFAQ調査報告書 2.00版】を掲載しました。

phpMyFAQは、FAQサイトを構築するためのオープンソースソフトウェアです。本書は、phpMyFAQについて調査した内容をまとめたものです。

https://www.designet.co.jp/download/#information

メールサーバの安全性を無料でチェックできるサイトを公開しています。

メールセキュリティへの関心が高まる中、メールセキュリティのチェック項目を整理して、誰でも簡単にチェックできるツールはありませんでした。本サイトでは、メールアドレスを入力するだけで、メールサーバのセキュリティを無料でチェックできます。

メールサーバセキュリティ診断MSchecker外部サイトへ

前へ(今月の気になるオープンソース情報)

デージーネットマガジン2025年12月号記事一覧

教育機関向けへの脆弱性診断サーバ構築事例の先頭へ