構築事例：OpenVASによるセキュリティ診断

ソフトウェアの脆弱性などセキュリティの問題がニュースで多く取り上げられ、システムのセキュリティへの関心が高まりました。ソフトウェアの脆弱性や攻撃手法は日々変化しています。そのため、継続して最新の診断を行う必要があります。しかし、それらを全て外部に委託するとなるとコストが高くなってしまいます。そのため、自分たちでセキュリティ診断をする方法はないか模索されていました。

OpenVASを導入

セキュリティ診断のオープンソースソフトウェアとして、OpenVASがあります。OpenVASを導入することで、何度でも、何台のサーバでも、セキュリティ診断を行うことができます。OpenVASは、多くの脆弱性テストを備えていて、高機能なセキュリティ診断が行えます。また、OpenVASでは、次々と出る脆弱性や攻撃に対応するため、パターンファイルが日々更新されています。OpenVASはオープンソースソフトウェアのため、世界中の情報から迅速に診断項目が追加されます。こうしたことから、OpenVASを導入することにしました。

OpenVASのセキュリティ診断

OpenVASには、自動で定期的な診断を行う機能が備わっています。また、OpenVASのセキュリティ診断結果はレポートとして出力でき、適切な対策に役立てられます。そのため、システムをセキュアに保つことができます。

OpenVASのGUIからの設定

OpenVASのセキュリティ診断では、どのサーバに診断をかけるか、どのような項目で診断するかなどの設定がWEB-GUIから行えます。そのため、難しい操作なしでセキュリティ診断が行えます。

OpenVASの診断設定をマニュアル化し提供

ご自身でセキュリティ診断を行えるOpenVASですが、OpenVASのGUIは英語です。ご自身で設定することができるよう、OpenVASの設定手順をマニュアル化して提供しました。

OpenVASとは、オープンソースソフトウェアの脆弱性スキャナです。実際に診断するシステムに攻撃を行ってみることで脆弱性テストを行います。ソフトウェアのバグや仕様上の欠陥、設定などの脆弱性を見つけ出すために有効です。

OpenVASの特徴

• OpenVASは、自動的に定期的に診断できる。
  

  OpenVASは、何台でも、何回でもセキュリティ診断を行えます。そのため、診断のコストを抑えることができます。

• OpenVASには45,000もの診断項目がある。
  

  OpenVASは、2016年2月時点で45,000もの診断項目を備えています。日本でも大手ISPなどで採用されていて、信頼性のあるセキュリティ診断ツールです。

• OpenVASは、オープンソースソフトウェアである。
  

  OpenVASは、オープンソースソフトウェアなので、世界中から情報があつまり、迅速に診断項目が追加されます。そのため、高機能なセキュリティ診断を行えます。オープンソースソフトウェアのためライセンス料は不要です。

• OpenVASには、WEB-GUIが備わっている。
  

  OpenVASの管理は、WEB-GUIから容易に行えます。そのため、自身で容易にセキュリティ診断が可能です。

• OpenVASには、レポーティング機能がある。
  

  OpenVASは、診断結果をレポートにする機能があります。そのため、定期診断レポートを簡単に作成することができます。レポートという形で出力することで、サーバに問題があるかどうか明確にすることができます。

デージーネットとOpenVAS

デージーネットでは、OpenVASを利用し継続的にセキュリティ診断を実施できるシステムを提供しています。OpenVASのWEB-GUIは英語なため、英語に不慣れな場合であっても、ご自身で設定することができよう、OpenVAS設定手順書の提供もしています。

OpenVASの保守

デージーネットでは、導入後にクーポンサービスによる運用サポートを提供しています。運用サポートでは、脆弱性への対策方法などを問い合わせすることができます。また、OpenVASの脆弱性レポートは英語で出力されます。そのデメリットを補うため、脆弱性レポートに対するサポートを提供しています。このように、セキュリティ診断を継続して実施でき、安心してシステムを利用できます。

社内サーバインフラの構築の事例一覧

• NFSサーバ冗長化事例
• OSSの掲示板システム（phpBB）事例
• OpenVASによるセキュリティ診断事例
• Office365用プロキシサーバ事例
• Fessによるファイルサーバ検索システム事例