概要

本マニュアルでは、さくらパトロールにおけるSBOM および ASM の画面操作について説明します。

SBOM(Software Bill of Materials) は、サーバにインストールされているソフトウェアやライブラリの一覧を自動収集し、既知の脆弱性(CVE)を検出する機能です。対象サーバにAgentをインストールすることで、パッケージ情報の収集とスキャンを行います。

ASM(Attack Surface Management) は、外部からサーバーの公開ポートやサービスをスキャンし、攻撃対象面(アタックサーフェス)のリスクを評価する機能です。外部の攻撃者視点でサーバのセキュリティ状態を可視化します。

ログイン画面

ブラウザにて以下のURLにアクセスし、ログインを行います。

ログインに必要なユーザー情報は、別途弊社よりお送りいたします。

https://patrol.saku-maru.jp/login

ログイン画面

SBOM ホスト一覧

ログイン後、サイドバーの「SBOM」をクリックすると、ホスト一覧画面が表示されます。登録済みのホスト情報が一覧で確認できます。

SBOM ホスト一覧

ホスト登録

SBOMスキャンを行うには、まず対象ホストを登録します。

ホスト一覧画面の右上にある「ホスト登録」ボタンをクリックします。

ホスト登録ボタン

ホスト登録画面が表示されます。

Agent インストーラ取得画面
chmod +x scan-tool-installer.sh
./scan-tool-installer.sh

インストーラ実行後、SBOM Agentサービスが自動的に起動します。

ホスト一覧画面に戻ると、登録したホストが表示されます。

ホスト登録後の一覧
Agentインストール直後は、ホストの状態が「unknown」となり、ホスト情報(Host名、IP、MACアドレス等)が「None」と表示されますが、初回スキャンを実行すると情報が取得されます。

ホストの情報として、以下の項目が表示されます。

項目説明
名称ホスト登録時に設定した識別名
Host名サーバーのホスト名(自動取得)
グローバルIPサーバーのグローバルIPアドレス
ローカルIPサーバーのローカルIPアドレス
MACアドレスネットワークインターフェースのMACアドレス
最終通信エージェントとの最終通信日時
状態ホストの状態(Online / Idle / unknown)
Scanスキャンの手動実行ボタン
cron定期スキャンの設定ボタン
削除ホストの削除ボタン

スキャンの実行

ホスト一覧画面の「開始」ボタンをクリックすると、SBOMスキャンが実行されます。スキャンには数分程度時間がかかります。

スキャン開始

スキャン完了後、ホスト情報が自動取得され、状態が「Idle」に変わります。

スキャン完了

「詳細」をクリックすると、スキャン履歴が確認できます。

スキャン履歴

履歴結果画面から「表示」をクリックすると、スキャン結果のサマリーが表示されます。

スキャン結果
スキャンサマリー
対象サーバでDockerコンテナが稼働している場合、自動的にコンテナを認識し、コンテナ内部のソフトウェアやライブラリも含めてスキャンを行います。Categoryに「docker」と表示されます。
項目説明
Categoryスキャン対象の種類(host / docker)
Targetスキャン対象のパス
Application検出されたアプリケーション数
Library検出されたライブラリ数
CPECPE(Common Platform Enumeration)識別子の数
CVE HIGH重要度「高」の脆弱性数
CVE MEDIUM重要度「中」の脆弱性数
CVE LOW重要度「低」の脆弱性数

Severityフィルタによる絞り込み

スキャン結果サマリーのTargetリンクをクリックすると、アプリケーション別の脆弱性一覧画面が表示されます。

Targetリンク

アプリケーション別の脆弱性一覧画面左上の「Severity」プルダウンから重要度を選択し、「Search」ボタンをクリックすることで、該当する脆弱性のみに絞り込んで表示できます。

Severityフィルタ
フィルタ説明
ALLすべての脆弱性を表示
CRITICAL / HIGH重要度「緊急」「高」の脆弱性のみ表示
MEDIUM重要度「中」の脆弱性のみ表示

スキャン結果のダウンロード

結果一覧の上部にあるボタンから、スキャン結果を各種フォーマットでダウンロードできます。

ダウンロードフォーマット
ボタン説明
コピー一覧データをクリップボードにコピー
CSVCSV形式でダウンロード
ExcelExcel形式でダウンロード
PDFPDF形式でダウンロード
印刷ブラウザの印刷機能で印刷

定期スキャン(cron)の設定

スキャンを毎日自動で実行するには、定期スキャンを設定します。

ホスト一覧画面から対象のホストの「設定」ボタンをクリックします。

cron設定ボタン

定期スキャン設定画面が表示されます。

cron設定画面

定期実行を有効にするにチェックを入れ、スキャン実行時間を設定し、保存します。

項目説明
定期実行を有効にするチェックを入れると定期スキャンが有効になります
スキャン実行時間毎日スキャンを開始する時間を設定します(例: 02:00
保存設定を保存します
キャンセル設定を破棄してダイアログを閉じます
定期実行を無効にする場合は、チェックを外して「保存」をクリックしてください。

設定された時間にスキャンが実行されたかどうかは、ホスト一覧画面から「詳細」をクリックし、履歴結果一覧にて確認できます。

cron実行結果

ASM ホスト一覧

サイドバーの「ASM」をクリックすると、ASMのHost List画面が表示されます。

登録済みのスキャン対象サイトの一覧とスキャン状態が確認できます。

ASM ホスト一覧
項目説明
Host Name登録時に設定したサイトの識別名
Hostnameサイトのホスト名(ドメイン名)
IP Addressスキャン対象のIPアドレス
Statusスキャンの状態(completed / processing)
ASM「ASM実行」ボタンでスキャンを開始
定期実行「設定」ボタンでASMスキャンの定期実行を設定
結果表示「表示」ボタンでスキャン結果を確認

スキャンの実行

「ASM実行」ボタンをクリックするとスキャンが開始されます。

スキャン完了後、Statusが「completed」に変わり、「表示」ボタンからスキャン結果を確認できます。

ASMスキャン結果

「表示」ボタンをクリックすると、ASM Issue List画面が表示されます。過去に実行したASMスキャンの履歴が一覧で確認できます。

ASM Issue List
項目説明
Issue IDスキャンの一意識別子(リンクをクリックで詳細結果を表示)
Statusスキャンの状態(completed / processing)
Scan Dateスキャンの実行日時
確認したいスキャン結果のIssue IDリンクをクリックすると、詳細な結果を確認できます。

IP List(スキャン結果概要)

Issue IDをクリックすると、IP List画面が表示されます。スキャン対象のIPアドレスごとに結果の概要が確認できます。

ASM IP List
項目説明
Scan Timeスキャンの実行日時
IP Addressスキャン対象のIPアドレス(リンクをクリックで詳細表示)
Total Scoreリスクスコア(バーグラフで視覚的に表示)
Tags検出されたサービスのタグ
Service Count検出されたサービスの数
CPE NumCPE(Common Platform Enumeration)識別子の数
CVE Num検出されたCVEの数
IPアドレスのリンクをクリックすると、ASM Detail画面に遷移し、より詳細な情報を確認できます。

ASM Detail(詳細情報)

IP ListのIPアドレスリンクをクリックすると、ASM Detail画面が表示されます。対象サイトのセキュリティ状態を詳細に確認できます。

ASM Detail
項目説明
IPスキャン対象のIPアドレスと検査日
Total Scoreリスクスコアの合計値(Surface + CVE の内訳も表示)
Surface Level攻撃対象面のリスクレベル(High / Medium / Low)
Protocol検出されたプロトコル一覧

Asset Overview

項目説明
IPスキャン対象のIPアドレス
Hostnameサイトのホスト名
Reverse DNS逆引きDNSの結果
Seed Hostname登録時に指定したホスト名
MACMACアドレス
Vendorベンダー情報
Tags検出されたサービスのタグ

Service Info

ASM Detail画面を下にスクロールすると、Service Infoセクションが表示されます。検出された各サービスのポートごとに詳細な情報が確認できます。

Service Info
項目説明
Portポート番号
Protocolプロトコル種別(FTP, SSH, SMTP, HTTP等)
Bannerサービスが返すバナー情報(ソフトウェア名やバージョン等)
Tags / CPEサービスの識別タグとCPE(Common Platform Enumeration)情報
Surface Risk攻撃対象面のリスクスコア(バーグラフで表示、数値が高いほどリスクが高い)
CVE RiskCVEに基づくリスクスコア(バーグラフで表示)
Surface Riskのバーが赤く表示されているサービスはリスクが高いことを示しています。

CVE Info / Metadata / Snapshot

ASM Detail画面の下部には、追加の詳細情報セクションが表示されます。

CVE / Metadata / Snapshot

CVE Info

検出されたCVE(脆弱性)の一覧が表示されます。「CPEごとに展開表示」にて、CPEごとに分類されたCVEの詳細を確認できます。

Metadata

スキャンで検出された各種メタ情報が表示されます。

項目説明
Protocols検出されたプロトコルの一覧(タグ形式で表示)
HTTP RecommendHTTPに関する推奨事項の数
CAPEC検出された攻撃パターン(Common Attack Pattern Enumeration and Classification)
MITRE Technique検出されたMITRE ATT&CKの攻撃手法

WHOIS

対象IPアドレスのWHOIS登録情報(所有者、ネットワーク範囲等)が表示されます。

Snapshot

スキャン時のスナップショット情報が表示されます。

ASMスキャンの定期実行設定

ASMスキャンを定期的に自動実行するには、ホスト一覧画面から対象のホストの「設定」ボタンをクリックします。

ASM定期実行ボタン

定期スキャン設定画面が表示されます。

ASM定期実行設定
項目説明
定期実行を有効にするチェックを入れると定期スキャンが有効になります
実行パターンスキャンの実行頻度を設定します(毎日 / 毎週 / 毎月)
保存設定を保存します
キャンセル設定を破棄してダイアログを閉じます
ASMスキャンはSBOMと異なり、指定時刻ではなく実行日にサーバ側で順番にベストエフォートで実行されます。

定期実行を無効にする場合は、チェックを外して「保存」をクリックしてください。