セキュリティ脆弱性は、データ侵害や業務中断につながり得る主要な攻撃ベクトルです。Security Center は、[Linux Software Vulnerability]、[Windows System Vulnerability]、[Application Vulnerability]、[Web-CMS Vulnerability]などの脆弱性タイプについてアセットをスキャンします。攻撃が発生する前にリスクを特定し、修復します。
脆弱性スキャンの仕組み
Security Center は、脆弱性検出に次の 2 つの方法を使用します:
ソフトウェア構成分析 (SCA):パッシブ検出です。Security Center エージェントがサーバーからソフトウェアのバージョンと依存ライブラリ情報を収集し、脆弱性データベースと照合します。このプロセスはソフトウェアのメタデータのみを分析するため、業務システムに影響しません。
Web スキャナー:アクティブ検証です。Web スキャナーがインターネットからアプリケーションサービスに概念実証 (PoC) リクエストを送信し、攻撃動作をシミュレートして脆弱性の有無を確認します。この方法では、リモートコマンド実行や SQL インジェクションなどの高リスク脆弱性を検出できます。すべてのリクエストは無害なプローブであり、システムに損害を与えることはありません。
シンガポールのデータセンターでホストされている中国本土以外のリージョンのアセットは、現在 Web スキャナー機能をサポートしていません。
サポートされているエディションとスキャン範囲
サブスクリプション
エディション | 手動スキャン | 自動 (定期) スキャン |
[Enterprise]、[Ultimate] | すべて | |
[Advanced] | [アプリケーションの脆弱性]を除くすべての脆弱性タイプ | |
[Basic]、[Value-added Plan]、[Anti-virus] | [緊急の脆弱性] | [Linux Software Vulnerability]と [Windows System Vulnerability] |
従量課金
保護レベル | 手動スキャン | 自動 (定期) スキャン |
[Host Protection] と [Hosts and Container Protection] | すべて | |
[Unprotected] と [Antivirus] | [緊急の脆弱性] | [Linux Software Vulnerability] と [Windows System Vulnerability] |
アプリケーションの脆弱性スキャン機能を使用するには、次のいずれかの条件を満たす必要があります:
従量課金:アセットに「Hosts and Container Protection」権限が関連付けられている必要があります。
サブスクリプション:現在のエディションが Enterprise 以上である必要があります。
現在のエディションがこの機能をサポートしていない場合は、先にサービスをアップグレードしてください。
ネットワークホワイトリストの設定
Web スキャナーがサーバーにアクセスしてアクティブ検証 (PoC) を実行できるようにするため、Security Center のスキャン IP 範囲 47.110.180.32/27 (47.110.180.32 ~ 47.110.180.63) を、セキュリティグループおよびネットワークファイアウォールのホワイトリストに追加してください。
Security Center のスキャン IP 範囲をホワイトリストに追加しない場合、Web スキャナーの PoC リクエストがブロックされることがあります。これにより、アプリケーションの脆弱性および緊急の脆弱性を検出できなくなったり、リクエストが攻撃として判定されたりする可能性があります。
PoC 検証リクエストには、補助ドメイン
s0x.cn(アプリケーションの脆弱性および緊急の脆弱性の検出に使用) が含まれる場合があります。これによりアラートがトリガーされた場合は、アラートを無視するか、そのドメインのホワイトリストルールを作成してください。
セキュリティグループの設定
サーバーが Alibaba Cloud Elastic Compute Service (ECS) インスタンスの場合は、セキュリティグループの設定を参照し、次のパラメーターでインバウンドルールを追加します:
パラメーター | 値 |
Direction | Inbound |
Action | Allow |
Protocol Type | TCP |
Port Range | 1–65535 |
Source | 47.110.180.32/27 |
ファイアウォールホワイトリストの設定
サーバーで Web Application Firewall (WAF) を使用している場合は、WAF ホワイトリストルールの設定を参照し、次のパラメーターでホワイトリストルールを追加します:
パラメーター | 値 |
Match Field | IP |
Logic | Belongs to |
Match Content | 47.110.180.32/27 |
Detection Modules to Skip | All |
脆弱性スキャンの実行
Security Center は、次の 2 つのスキャン方法を提供します:
手動スキャン:必要に応じてサーバーの脆弱性ステータスを即時に評価します。
自動 (定期) スキャン:継続的な脆弱性監視のために、定期的に実行されるスキャンタスクを設定します。
スキャン開始後、システムはスキャンタスクを作成し、バックグラウンドで実行します。スキャンの進行状況と結果は、タスク管理 で確認できます。
手動スキャン
Security Center console にログインします。
脆弱性管理 ページで、Quick Scan (すべてのサーバー) をクリックします。 脆弱性スキャン ダイアログボックスで、スキャン対象の脆弱性タイプを選択し、OK をクリックします。
説明すべてのサーバーではなく特定のサーバーをスキャンするには、ホストアセット ページに移動し、対象のサーバーを選択し、ページの下部にある Security Check をクリックし、ダイアログボックスで Vulnerabilities を選択します。
手動のワンクリックスキャンを実行しても、既存の自動スキャンスケジュールには影響しません。手動スキャンと自動スキャンは互いに独立しています。毎日または 2 日ごとに実行されるシステム脆弱性スキャンなどの自動スキャンは、スケジュールどおりに継続して実行されます。
自動 (定期) スキャン
自動スキャンは、脆弱性タイプに応じて次の 2 つのスケジューリング方法を使用します:
デフォルトサイクル (設定不可):
[Linux Software Vulnerability] と [Windows System Vulnerability] に適用されます。
デフォルトのスキャン頻度:
サブスクリプション:
[Advanced]、[Enterprise]、[Ultimate]:1 日 1 回。
[Basic]、[Value-added Plan]、[Anti-virus]:2 日に 1 回。
従量課金:
[Host Protection]、[Hosts and Container Protection]:1 日 1 回。
[Unprotected]、[Antivirus]:2 日に 1 回。
ユーザー定義サイクル:
[Application Vulnerability] と [緊急の脆弱性] に適用されます。
サブスクリプション ([Advanced]、[Enterprise]、[Ultimate]) および従量課金 ([Host Protection]、[Hosts and Container Protection]) で利用できます。
自動スキャンを設定するには:
Security Center console にログインします。
脆弱性管理 ページで、脆弱性管理の設定 をクリックします。必要に応じて、次の設定を構成します。
パラメーター
説明
Vulnerability scan switch
さまざまな種類の脆弱性 (Linux Software Vulnerability、Windows System Vulnerability、Web-CMS Vulnerability、Application Vulnerability、緊急の脆弱性) のスキャンを有効または無効にします。スキャンを有効にすると、管理 をクリックして、スキャンを適用するサーバーを指定できます。
[YUM/APT ソースの設定]
有効にすると、Alibaba Cloud の公式 YUM/APT ソースが Linux 脆弱性の修復時に優先的に使用され、修復成功率が大幅に向上します。
[緊急脆弱性スキャンサイクル]
緊急の脆弱性スキャンタスクの実行頻度を設定します。
デフォルトのスキャンウィンドウ:
中国本土:
00:00:00 (UTC+8)~07:00:00 (UTC+8)。中国本土以外:
00:00:00 (UTC+7)~07:00:00 (UTC+7)。
利用可能なエディション/保護レベル:
サブスクリプション:[Advanced]、[Enterprise]、[Ultimate]。
従量課金:[Host Protection] と [Hosts and Container Protection]。
[アプリケーションの脆弱性スキャンサイクル]
アプリケーションの脆弱性スキャンタスクの実行頻度を設定します。
デフォルトのスキャンウィンドウ:
中国本土:
00:00:00 (UTC+8)~07:00:00 (UTC+8)。中国本土以外:分散スケジューリングメカニズムが、24時間以内の異なる時刻にスキャンを実行します。
利用可能なエディション/保護レベル:
サブスクリプション:[Enterprise] と [Ultimate]。
従量課金:[Host Protection] と [Hosts and Container Protection]。
[System Vulnerabilities Scanned At]
Linux ソフトウェア脆弱性および Windows システム脆弱性のスキャンタスクを実行する特定の時刻を設定します。
[無効な脆弱性の自動削除]
無効な脆弱性の保持期間を設定します。
システムは、長期間にわたり再検出されない、または処理されていない脆弱性を無効な脆弱性とみなします。無効な脆弱性は自動的に「Handled」リストにアーカイブされます。[無効な脆弱性の自動削除] で設定した期間が経過すると、煩雑さを減らすため、システムはそれらを完全に削除します。
説明将来、Security Center が同じタイプの脆弱性を再度検出した場合、新しいアラートが生成されます。
[脆弱性スキャンレベル]
スキャン対象とする脆弱性のリスクレベルを設定します。システムは、選択したレベルに一致する脆弱性のみをスキャンしてレポートします。
[脆弱性ホワイトリストの設定]
修復しないと判断した脆弱性 (たとえば、業務要件や許容可能なリスクによるもの) をホワイトリストに追加します。これらの脆弱性は以降のスキャンで無視されます。
説明脆弱性ホワイトリストルールを追加した後、脆弱性管理の設定パネルの脆弱性ホワイトリストの設定タブで、ルールを管理 (編集または削除) できます。
スキャンタスクの確認
脆弱性管理 ページで、右上隅の タスク管理 をクリックします。
タスクの「操作」列で詳細をクリックすると、Affected Servers、Successful Servers、Failed Serversなどの影響データを表示できます。
スキャンに成功したサーバーの場合、[Status] 列に検出された脆弱性の範囲が表示されます。スキャンに失敗した場合、[Status] 列に失敗理由が表示されます。
スキャン進行状況の停滞のトラブルシューティング
スキャンタスクの進行状況が 0% のまま、または "Scanning" ステータスのまま長時間変わらない場合は、次の手順を実行します:
エージェントステータスの確認:対象サーバー上の Security Center エージェントがオンラインであることを確認します。エージェントステータスが異常な場合は、ページを更新するか、サーバー上でエージェントサービスを再起動してください。
失敗したサーバーの特定: 脆弱性管理ページの右上隅にあるタスク管理をクリックすると、タスクの詳細を表示して、スキャンが失敗したサーバーを特定できます。
失敗したサーバーの緊急スキャンを実行する: 右上隅の 脆弱性管理の設定 をクリックし、緊急脆弱性スキャンサイクル オプションを見つけ、失敗したサーバーのみを選択し、ワンクリックでスキャンを実行して、残りの脆弱性検出を完了します。
レポートに脆弱性が 0 件と表示される:スキャンが完了してもレポートに脆弱性が 0 件と表示される場合は、先に手動で脆弱性スキャンとウイルススキャンを実行し、スキャン完了後にレポートを再表示またはエクスポートしてください。
脆弱性の確認と処理
脆弱性管理 ページで、対象の脆弱性タイプのタブに移動し、脆弱性の詳細ページを開いて、指示に従って修正します。修正手順については、「脆弱性の管理」をご参照ください。
[アプリケーションの脆弱性] と [緊急の脆弱性] は、コンソールからの ワンクリック修復 をサポートしていません。サーバーにログインし、脆弱性の詳細に記載された修復提案に基づいて手動で修復する必要があります。
Service model | サービスエディション / 保護レベル | 説明 |
[Subscription] | [Enterprise] と [Ultimate] | [Linux Software Vulnerability] と [Windows System Vulnerability] の修復をサポートします。 |
[Advanced] | [Linux Software Vulnerability] と [Windows System Vulnerability] の修復をサポートします。 | |
[Basic]、[Value-added Plan]、[Anti-virus] | 重要 [Vulnerability Fix] 付加価値サービスを購入すると、ワンクリック修復を使用できます。購入手順については、「購入ガイド」をご参照ください。 [Linux Software Vulnerability] と [Windows System Vulnerability] の修復をサポートします。 | |
[Pay-as-you-go] | すべての保護レベル |
Linux 脆弱性が表示されない場合のトラブルシューティング
Linux 関連の脆弱性 (特定の CVE カーネル特権昇格の脆弱性など) がコンソールに表示されない場合は、次の手順を実行します:
フィルター設定の確認:脆弱性管理ページで、フィルタースイッチまたは表示設定 (特定のリスクレベルでのフィルタリングなど) が有効になっていないか確認します。関連するフィルターを無効にするか表示設定を調整し、Linux 脆弱性が表示されるようにしてください。
スキャンの再実行:フィルターを調整しても脆弱性が表示されない場合は、Quick Scan をクリックして脆弱性スキャンを再実行します。また、サーバーにログオンし、次のコマンドを実行してシステムカーネルのバージョンを確認します。
uname -rCVE 脆弱性の影響の評価:特定の CVE 脆弱性 (CVE-2026-31431 など) について、カーネルバージョンが影響範囲 (4.14 ~ 7.0 のカーネルバージョンなど) に含まれているか確認してください。影響を受けることが確認できた場合は、公式セキュリティアドバイザリを参照して一時的な緩和策を適用し、公式パッチの公開後にアップグレードしてください。
Windows 高リスク脆弱性の修復に関する注意事項
高リスクの Windows 脆弱性 (CVE-2026-26170 など、OS レベルのコンポーネントに関係する脆弱性) を修復する場合は、次の点に注意してください:
修復前のバックアップ:修復を適用する前に ECS インスタンスのスナップショットを作成し、問題が発生した場合に迅速にロールバックできるようにしてください。
オフピーク時間帯での修復:この種の修復ではサーバーの再起動が必要になる場合があります。影響を最小化するため、業務のオフピーク時間帯に修復を実施してください。
修復後の再起動:Windows のシステムパッチは通常、適用内容を反映するためにサーバーの再起動が必要です。修復の適用後は速やかにサーバーを再起動してください。
制限事項
タスク管理: 手動スキャンタスクを作成した後、タスク管理 で スキャンの停止 を手動でクリックするには、15 分間待つ必要があります。
スキャン時間:スキャン完了までの時間は、アセット数と脆弱性の複雑さによって異なります。通常、スキャンは 30 分以内に完了します。
よくある質問
スキャンの動作と結果
1 台のサーバーに対して同じ脆弱性が複数件レポートされるのはなぜですか。
アプリケーション脆弱性の検出は、実行中の特定のプロセスインスタンスを対象とします。サーバー上で同一の脆弱性を持つプロセスの複数のインスタンスが実行されている場合 (たとえば、異なるポートで同一の Tomcat サービスが 2 つ稼働している場合)、インスタンスごとに別の脆弱性としてレポートされます。脆弱なソフトウェアがインストールされていても、対応するプロセスが実行されていない場合は、脆弱性は検出されません。
Fastjson などの脆弱性のスキャン結果が、場合によって異なるのはなぜですか。
この種の脆弱性の検出は、JAR パッケージなどのコンポーネントがスキャン時に「ランタイム」状態でロードされているかどうかに依存します。動的ロードモデルでは、業務ロジックが脆弱なコンポーネントを呼び出した場合にのみ、システムが脆弱性を特定します。そのため、時間帯によってスキャン結果が異なる場合があります。
説明このタイプの脆弱性の検出精度を向上させるため、定期的または複数回のスキャンを実行することを推奨します。
ホストのエージェントがオフラインになった後も、脆弱性レコードがコンソールに残るのはなぜですか。
エージェントがオフラインになると、以前に検出された脆弱性レコードはコンソールに保持されます。ただし、これらのレコードは自動的に無効な脆弱性となり、操作 (修復、検証、削除など) はできません。脆弱性は、次の期間が経過すると自動的に無効な脆弱性になります:
重要すべてのデータが完全に削除されるのは、Security Center のサービス期限が切れ、7 日以内に更新されなかった場合のみです。
[Linux Software Vulnerability] と [Windows System Vulnerability]:3 日。
[Web-CMS Vulnerability]:7 日。
[Application Vulnerability]:30 日。
[緊急の脆弱性]:90 日。
手動スキャンは自動スキャンスケジュールに影響しますか。
手動のワンクリックスキャンを実行しても、既存の自動スキャンスケジュールには影響しません。両者は互いに独立して動作します。毎日または 2 日ごとに実行されるシステム脆弱性スキャンなどの自動スキャンは、手動スキャンに関係なくスケジュールどおりに継続して実行されます。
パフォーマンスへの影響とセキュリティ
脆弱性スキャンや緊急の脆弱性の PoC は、業務システムに影響しますか。
通常は影響しません。Security Center の PoC は、無害なプローブリクエストを 1 ~ 2 回送信するだけであり、攻撃や破壊的な操作は行いません。ただし、まれにアプリケーションが予期しない入力を適切に処理できない場合、最小限の未知のリスクが存在する可能性があります。
脆弱性スキャンによってメモリ不足 (OOM) エラーがトリガーされるのはなぜですか。
Security Center エージェントのデフォルトのメモリ上限は 200 MB です。スキャン中のメモリ使用量がこの上限を超えると、システムの OOM メカニズムが検出プロセス (ALiSecCheck) を終了し、リソースを節約します。
説明この上限は通常、
aegisRtap0という名前の cgroup によって管理されます。関連する OOM 情報は dmesg ログで確認できます。これは正常な動作であり、システム全体のメモリ不足を示すものではありません。ユーザー側での対応は不要です。
このタイプのメモリ不足 (OOM) エラーは、システム全体のメモリ不足ではなく、cgroup のメモリ制限に起因します。
スキャン範囲と機能
脆弱性スキャンの対象は何ですか。
スキャンはシステム層とアプリケーション層の両方を対象とします:
システム層:Linux ソフトウェアの脆弱性、Windows システムの脆弱性。
重要Windows システムの脆弱性スキャンは、月次のセキュリティ更新パッチのみをサポートします。
アプリケーション層:Web-CMS の脆弱性、アプリケーションの脆弱性、緊急の脆弱性。
Security Center が検出できる脆弱性の一覧はどのように確認できますか。
Security Center console にログインします。
左側のナビゲーションペインで、脆弱性管理 > [脆弱性] を選択します。概要セクションで、すでにサポートされている脆弱性 カードを探します。
カードの脆弱性の総数をクリックすると、検出可能なすべての脆弱性とその詳細の一覧を確認できます。
Elasticsearch など、特定の脆弱性の検出はサポートされていますか。
はい。Elasticsearch などのサービスの検出結果は、コンソールの [Application Vulnerability] ページで確認できます。
説明この機能は、[Subscription] ([Enterprise] と [Ultimate] エディション) および [Pay-as-you-go] ([Host Protection] と [Hosts and Container Protection]) でのみ利用できます。現在のエディションがこの機能をサポートしていない場合は、アップグレードしてください。