構築事例:OpenVASによるセキュリティ診断
費用を抑えるためにご自身で診断を行いたいというご要望を頂きました。そこで、自身で継続してセキュリティ診断を行えるOpenVASを導入しました。しかし、OpenVASのGUIは英語のため、利用に不安を感じられていました。そのため、OpenVASのセキュリティ診断の手順を作成し提供しました。
- お客様が悩まれていた課題
- 自分たちでセキュリティ診断をしたい
- セキュリティ診断の費用を抑えたい
- +導入企業プロフィール
- ★
導入企業業種
情報・通信(東京都)
ユーザー規模
50万人
利用OS
Linux(CentOS7)
導入月
2016年3月頃
デージーネットが提案した「OpenVASによるセキュリティ診断」
OpenVASを導入し自身でセキュリティ診断を可能に
ソフトウェアの脆弱性などセキュリティの問題がニュースで多く取り上げられ、システムのセキュリティへの関心が高まりました。ソフトウェアの脆弱性や攻撃手法は日々変化しています。そのため、継続して最新の診断を行う必要があります。しかし、それらを全て外部に委託するとなるとコストが高くなってしまいます。そのため、自分たちでセキュリティ診断をする方法はないか模索されていました。
OpenVASを導入
セキュリティ診断のオープンソースソフトウェアとして、OpenVASがあります。OpenVASを導入することで、何度でも、何台のサーバでも、セキュリティ診断を行うことができます。OpenVASは、多くの脆弱性テストを備えていて、高機能なセキュリティ診断が行えます。また、OpenVASでは、次々と出る脆弱性や攻撃に対応するため、パターンファイルが日々更新されています。OpenVASはオープンソースソフトウェアのため、世界中の情報から迅速に診断項目が追加されます。こうしたことから、OpenVASを導入することにしました。
OpenVASのセキュリティ診断
OpenVASには、自動で定期的な診断を行う機能が備わっています。また、OpenVASのセキュリティ診断結果はレポートとして出力でき、適切な対策に役立てられます。そのため、システムをセキュアに保つことができます。
OpenVASのGUIからの設定
OpenVASのセキュリティ診断では、どのサーバに診断をかけるか、どのような項目で診断するかなどの設定がWEB-GUIから行えます。そのため、難しい操作なしでセキュリティ診断が行えます。
OpenVASの診断設定をマニュアル化し提供
ご自身でセキュリティ診断を行えるOpenVASですが、OpenVASのGUIは英語です。ご自身で設定することができるよう、OpenVASの設定手順をマニュアル化して提供しました。
導入後の結果
【Webセミナー】Rocket.Chatだけじゃない!OSSビジネスチャットの最新情報
日程: | 12月19日(木)Webセミナー「BigBlueButton」を使用します。 |
内容: | Rocket.Chatの機能制限でお困りの方も必見!ライセンスフリーで利用できるOSSのビジネスチャットを紹介します。 |
ご興味のあるかたはぜひご参加ください。 |
OpenVASとは
OpenVASとは、オープンソースソフトウェアの脆弱性スキャナです。実際に診断するシステムに攻撃を行ってみることで脆弱性テストを行います。ソフトウェアのバグや仕様上の欠陥、設定などの脆弱性を見つけ出すために有効です。
OpenVASの特徴
- OpenVASは、自動的に定期的に診断できる。
OpenVASは、何台でも、何回でもセキュリティ診断を行えます。そのため、診断のコストを抑えることができます。
- OpenVASには45,000もの診断項目がある。
OpenVASは、2016年2月時点で45,000もの診断項目を備えています。日本でも大手ISPなどで採用されていて、信頼性のあるセキュリティ診断ツールです。
- OpenVASは、オープンソースソフトウェアである。
OpenVASは、オープンソースソフトウェアなので、世界中から情報があつまり、迅速に診断項目が追加されます。そのため、高機能なセキュリティ診断を行えます。オープンソースソフトウェアのためライセンス料は不要です。
- OpenVASには、WEB-GUIが備わっている。
OpenVASの管理は、WEB-GUIから容易に行えます。そのため、自身で容易にセキュリティ診断が可能です。
- OpenVASには、レポーティング機能がある。
OpenVASは、診断結果をレポートにする機能があります。そのため、定期診断レポートを簡単に作成することができます。レポートという形で出力することで、サーバに問題があるかどうか明確にすることができます。
デージーネットとOpenVAS
デージーネットでは、OpenVASを利用し継続的にセキュリティ診断を実施できるシステムを提供しています。OpenVASのWEB-GUIは英語なため、英語に不慣れな場合であっても、ご自身で設定することができよう、OpenVAS設定手順書の提供もしています。
OpenVASの保守
デージーネットでは、導入後にクーポンサービスによる運用サポートを提供しています。運用サポートでは、脆弱性への対策方法などを問い合わせすることができます。また、OpenVASの脆弱性レポートは英語で出力されます。そのデメリットを補うため、脆弱性レポートに対するサポートを提供しています。このように、セキュリティ診断を継続して実施でき、安心してシステムを利用できます。