328.2 ネットワークの侵入検知

今回は303試験の試験範囲から「328.2 ネットワークの侵入検知」についての例題を解いてみます。

■トピックの概要
このトピックの内容は以下の通りです。

＜328.2 ネットワークの侵入検知＞
重要度     4

＜説明＞
ネットワークセキュリティスキャン、ネットワークモニターおよびネットワーク侵入検知ソフトウェアの使用と設定に精通していることが求められる。これには、セキュリティスキャナの更新と保守を含む。

＜主要な知識範囲＞
・バンド幅使用率モニターの実装。
・Snortの設定と使用。ルール管理を含む。
・OpenVASの設定と使用。NASLを含む。

＜重要なファイル、用語、ユーティリティ＞
・ntop
・Cacti
・snort
・snort-stat
・/etc/snort/*
・openvas-adduser, openvas-rmuser
・openvas-nvt-sync
・openvassd
・openvas-mkcert
・/etc/openvas/*

■例題
OpenVASに関する説明として正しいものを選びなさい。

1. ポートに対する通信状況を監視し、不正なアクセスを検出する。
2. サーバをスキャンし、ソフトウェアの脆弱性や設定の不備を検出する。
3. ファイルをスキャンし、ウィルスを検出する。
4. メールデータを解析し、スパムメールを検出する。

※この例題は実際の試験問題とは異なります。

ソフトウェアの脆弱性は、軽微なものを含めると毎日のように発見されています。
脆弱性の情報は、ソフトウェアのベンダーやプロジェクトのWEBサイトで公開されています。
またセキュリティに関しての情報を発信している団体も存在し、脆弱性の情報を含むセキュリティ情報をメールで受け取ることも可能です。
多くの情報が発信されていますが、それら全てを確認して、管理しているシステムに該当するのかを判断するのが難しい場合もあります。

OpenVASは、サーバに導入されているソフトウェアに既知の脆弱性がないかどうかをチェックする事ができるソフトウェアです。
45,000以上のNVT（Network Vulnerability Tests）とよばれる脆弱性のテストを行うことで、脆弱性があるかをチェックします。
また、ソフトウェアの脆弱性の他にも、セキュリティ上問題がある設定の不備についても検出を行います。

OpenVASを使用するメリットとしては、以下のように比較的簡単に最新の脆弱性のテストや結果の確認が行える点があげられます。
- WebブラウザからGUIで操作が可能である。
  OpenVASは、WebブラウザからGUIでの操作が可能です。
  GUIでは、スキャンを実施する対象ホストやスキャンを実施するスケジュールなどを設定することが可能です。

- 発見された脆弱性や設定の不備に関する説明や対策の記載されたレポートが表示される。
  スキャン結果のレポートを取得することができます。
  レポートには、発見された脆弱性や設定の不備の重大度や対策などが記載されています。

- 自動的にNVTの情報の更新が行われる。
  日々新しい脆弱性が発見される中で脆弱性に対する情報を常に最新にしておくことは重要です。
  OpenVASのNVTは通常毎週更新が行われます。
  そのため、最新の情報を元に脆弱性のテストを行うことが可能です。

OpenVASを使い、定期的にスキャンを実行することで新しい脆弱性やセキュリティ対策の不備などを発見しやすくなり、セキュリティをより強固にすることが可能です。

◆例題作成者

株式会社デージーネット　システム設計部　　　　森 彰吾 氏
株式会社デージーネット　ソリューション開発部　丸吉祐也 氏