• セキュリティ情報
  • 2020.07.06

Google、セキュリティスキャンエンジン「Tsunami」をオープンソースで公開

Googleは6月18日(米国時間)、オープンソースの脆弱性検出ツール「Tsunami」を公開しました。

脆弱性検査の重要性

脆弱性とは、プログラムの不具合や設計ミスによって発生したセキュリティ上の欠陥のことを意味します。脆弱性が放置されていると、外部からの攻撃を受けたり、ウイルスの感染に利用される可能性があるため、できる限り迅速な対応が求められます。しかし、脆弱性を一度塞いでも、新たな脆弱性が日々発見されているため、完全な対策は困難だといえます。

一方、攻撃の手法は日々進化しており、自動化も進んでいます。そのため、新たに発見された脆弱性が悪用され、ネット上に公開されたサービスが攻撃を受けるまでの時間が短くなっており、わずか数時間ほどで対処が必要な場合もあり、数万単位のシステムがインターネットに接続されているような大規模組織にとって大きな課題になっています。

そのため、自動化された攻撃に対応するためには、脆弱性検出も自動化し、最終的には脆弱性の修復まで完全に自動化することが求められます。Tsunamiはこういった要望を叶えるため開発されました。

脆弱性検出の概要

Tsunamiは下記の2段階でセキュリティスキャンを行います。

  1. [偵察調査]開いているポートを検出し、システム上で実行されているプロトコルやサービス、その他のソフトウェアを特定します。これらの一部の作業にはnmapなどの既存のツールも活用されています。
  2. [脆弱性検証]偵察調査で特定されたサービスに一致する脆弱性検証プラグインが選択され、脆弱性を利用する無害なコードを実行することで脆弱性の存在を確認します。

Googleは、外部に公開された自社のシステム全てに対してTsunamiを利用し、脆弱性を常にスキャンしているとのことです。

なお、「Tsunami」という名前の由来は「Tsunami Early Warning System」(津波早期警戒システム)の略称。予告なく襲ってくる津波を早期に検知し、大きな損害を被らないように警報を発するのが目的だと説明されています。

まとめ

現在は開発者向けプレビュー版としてリリースされており、検出できる脆弱性も限られているようですが、プラグインによって機能を拡張できる仕組みのため、様々なアプリケーションに対応することができます。さらに、リモートコード実行などの脆弱性も検出できる機能の追加や、使い勝手の向上なども予定されています。

脆弱性検出ツールは他にも数多く存在しますが、大企業が持つ大量のシステムの脆弱性検査が完全に自動化される未来も近いかもしれません。

 

参考サイト:
https://opensource.googleblog.com/2020/06/tsunami-extensible-network-scanning.html
https://github.com/google/tsunami-security-scanner/issues/5

※本記事は掲載時点の情報であり、最新の情報とは異なる場合があります。予めご了承ください。

RANKING

アクセスランキング

RECOMMEND

おすすめ記事