システムやアプリケーションの脆弱性は、攻撃者の侵入経路となる可能性があります。これらの脆弱性を迅速に検出し修正することは、アセットを保護し、潜在的なリスクを低減するために不可欠です。Security Center は、アセット全体のさまざまな脆弱性を検出し、詳細情報と修正ガイダンスを提供します。また、特定の一部の脆弱性についてはワンクリックでの修正をサポートし、効率的なリスク管理を可能にします。
脆弱性の検出と評価
脆弱性を修正する前に、まず脆弱性を正確に特定し、アセットに対するリスクを評価する必要があります。
脆弱性の全体的なステータスの表示
Security Center コンソールの [脆弱性管理] ページに移動します。ページの左上隅で、アセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
脆弱性の概要の表示
脆弱性管理 ページの上部には、全体的な脆弱性の統計が表示され、リスクの状況を迅速に把握するのに役立ちます。
High-priority Vulnerabilities (CVE):緊急度と悪用可能性に基づいて、最優先で対応すべき脆弱性をリストアップします。
説明1 台のサーバーに複数の脆弱性がある場合、それぞれが個別にカウントされます。
Vulnerable Servers:脆弱性が検出されたサーバーの総数。数字をクリックすると、 タブに移動し、脆弱性のあるサーバーアセットの詳細を表示できます。
修正中の脆弱性:統計情報をクリックすると、現在修正中の脆弱性のリストとその進行状況が表示されます。
処理済み脆弱性の累計:修正、無視、またはホワイトリストに追加された脆弱性の総数。情報アイコン
にカーソルを合わせると、Handled Vulnerabilities Today の数が表示されます。すでにサポートされている脆弱性:数字をクリックします。検出可能な脆弱性のリスト パネルでは、Security Center が検出をサポートする脆弱性と、脆弱性 ID、検出方法、リリース時間などの詳細情報を確認できます。
重要な脆弱性のフィルタリングと特定
多数の脆弱性アラートを管理する際には、効率的なフィルタリングが不可欠です。まずは以下の 3 つのアプローチから始めます。
自動ノイズ除去のための「Show Only Exploitable Vulnerabilities」フィルターの有効化
この方法では、理論的なリスクしかなく、実際には悪用が困難な優先度の低い脆弱性を自動的に除外します。
機能説明:
Alibaba Cloud 脆弱性評価モデルを使用します。このモデルは、脆弱性スコア、時間、環境、アセットの重要度などの要素を組み込んでいます。悪用可能性 (PoC/EXP) とアセットの重要度を組み合わせることで、このモデルは実際に脅威となる脆弱性を自動的に特定します。
Automatic Vulnerability Remediation も有効になっている場合、フィルタリングされた低リスクの脆弱性は自動修正タスクをトリガーしません。これにより、修正リソース (脆弱性修正回数) の不必要な消費を防ぎます。
手順:ページ右上の Show Only Exploitable Vulnerabilities スイッチをオンにします。
詳細な調査のための AI 分析 の使用
機能説明:この機能は AI 大規模モデルを使用して、脆弱性の概要、外部での悪用状況、攻撃パス解析、およびコンテキストに応じた修正アドバイスを提供し、複雑な脆弱性リスクをより正確に評価します。手順は以下の通りです。
手順:
対象の Vulnerability 名をクリックして詳細ページに移動します。
Vulnerability Details エリアで、脆弱性番号 の隣にある AI 分析 をクリックします。
正確なフィルタリングと迅速な特定
プラットフォームのフィルタリング機能とソート機能を使用して、特定の脆弱性や関心のあるアセットを迅速に特定します。
AI アプリケーション関連の脆弱性のフィルタリング:
機能説明:Security Center は、データ侵害や不正なモデルアクセスにつながる可能性のある AI アプリケーション (モデルやフレームワークなど) の脆弱性を検出し、一元的に表示します。
手順:脆弱性管理 ページの Application Vulnerability タブで、Display Only AI-related Vulnerabilities を選択します。
Affected Assets 列の理解
この列には、脆弱性の影響を受けるアセットの数が表示され、色で修正の緊急度を示します。
赤:修正の緊急度が 高 のサーバー数。
オレンジ:修正の緊急度が 中 のサーバー数。
グレー:脆弱性修正の緊急度が 低 のサーバー数。
脆弱性の詳細の表示
Vulnerability の名前をクリックして詳細パネルを展開し、脆弱性情報と影響を受けるアセットのリストを表示します。詳細については、「付録:脆弱性詳細ページのパラメーター説明」をご参照ください。
脆弱性の詳細:脆弱性の説明、CVSS 影響スコア (0.1~3.9 は低、4.0~6.9 は中、7.0~8.9 は高、9.0~10.0 は緊急)、影響を受けるコンポーネントのバージョンなどが含まれます。
処理対象の脆弱性リスト:この脆弱性が検出されたすべてのサーバーをリストアップします。このリストでは、各サーバーでの脆弱性のステータスを確認できます。ステータスは以下の通りです。
説明1 台のサーバー上の複数のプロセスが脆弱性に一致する場合、リストには複数のエントリが表示されます。
処理状況
ステータス
説明
処理済み
修正済み
脆弱性は修正されました。
修正失敗
脆弱性の修正に失敗しました。脆弱性ファイルが変更されたか、存在しなくなった可能性があります。
無視済み
脆弱性に対して Ignore 操作が実行されました。Security Center はこの脆弱性に対してアラートを生成しなくなります。
脆弱性の期限切れ
指定された期間内に脆弱性が再度検出されませんでした。脆弱性タイプごとの有効期限は次のとおりです。
Linux ソフトウェアの脆弱性および Windows システムの脆弱性:3 日
Web-CMS の脆弱性:7 日
アプリケーションの脆弱性:30 日
緊急の脆弱性:90 日
Unhandled
未修正
脆弱性は修正待ちです。
検証中
脆弱性を手動で修正した後、対象の脆弱性の 操作する 列にある 認証 をクリックします。Unfixed ステータスが Verifying に変わります。この操作により、脆弱性が修正されたかどうかが検証されます。
脆弱性の処理
脆弱性の修正
ステップ 1:修正方法の選択
ワンクリック修正:Security Center は、手動でサーバーにログインすることなく脆弱性の修正を自動化するワンクリック修正機能をコンソールで提供します。この機能は、以下のエディションと脆弱性タイプでサポートされています。
重要Application Vulnerability および 緊急の脆弱性 は、ワンクリック修正機能ではサポートされていません。
サービスモデル
サービスエディション / 保護レベル
説明
Subscription
Enterprise および Ultimate
Linux Software Vulnerability、Windows System Vulnerability、および Web-CMS Vulnerability の修正をサポートします。
Advanced
Linux Software Vulnerability および Windows System Vulnerability の修正をサポートします。
Basic、Value-added Plan、および Anti-virus
重要ワンクリック修正機能を有効にするには、Vulnerability Fix 付加価値サービスを購入する必要があります。手順については、「脆弱性修正の購入 (サブスクリプション)」または「脆弱性修正の購入 (従量課金)」をご参照ください。
Linux Software Vulnerability および Windows System Vulnerability の修正をサポートします。
Pay-as-you-go
すべての保護レベル
自動修正:Automatic Vulnerability Remediation をオンにし、自動修正タスクを設定して、指定した時間に新しく発見された脆弱性を定期的に修正できます。
重要自動修正タスクはワンクリック修正機能に依存します。現在のエディションと脆弱性タイプがワンクリック修正をサポートしていない場合、自動修正もサポートされません。
自動修正は、カーネル以外の Linux システムの脆弱性にのみ対応しています。その他の脆弱性には対応していません。
手動修正:現在のバージョンまたは脆弱性がワンクリック修正をサポートしていない場合、または Vulnerability Fix 機能が有効になっていない場合は、サーバーにログインし、脆弱性の詳細で提供される修正提案に基づいて手動で修正を適用する必要があります。
ステップ 2:修正の実行
ワンクリック修正
Security Center コンソール - リスク管理 - 脆弱性管理に移動します。ページの左上隅で、アセットが配置されているリージョンを選択します:Chinese MainlandまたはOutside Chinese Mainland。
Linux Software Vulnerability、Windows System Vulnerability、または Web-CMS Vulnerability タブで、対象の Vulnerability の名前をクリックするか、操作する 列の Fix ボタンをクリックします。
Unhandled Vulnerabilities エリアで、対象サーバーの 操作する 列にある Fix をクリックします。
説明複数のサーバーを選択し、リストの下にある Fix をクリックして、選択したサーバーの脆弱性を一括で修正することもできます。
修正ダイアログボックスで、修正方法を選択します:スナップショットの自動作成と修復 または Skip Snapshot and Fix。
重要脆弱性の修正には、システムカーネルやソフトウェアバージョンのアップグレードが含まれる場合があり、業務上の互換性リスクが伴います。この操作はオフピーク時に実行し、問題が発生した場合に迅速にロールバックできるよう、スナップショットの自動作成と修復 オプションを選択することを推奨します。
Fix Now をクリックします。システムが修正タスクを開始し、脆弱性のステータスが Fixing に変わります。成功すると、ステータスは Fixed に変わります。
自動修正
手順
脆弱性管理 ページで、右上隅の Vulnerability Auto-remediation Settings をクリックし、Automatic Vulnerability Remediation をオンにします。
脆弱性自動修正ポリシーの設定
Vulnerability Auto-Fix Schedule
重要脆弱性の修正には一定のリスクが伴います。業務への影響を最小限に抑えるため、オフピーク時に修正を実行してください。
Task Type:One-time (1 回のみ実行) または Cycle (定期的に実行) を選択できます。
Execution Date :このパラメーターは、Task Type が One-time に設定されている場合にのみ必要です。
実行サイクル:このパラメーターは、Task Type が Cycle に設定されている場合にのみ必要です。Every Day または Every Week を選択できます。
Execution Time:このパラメーターは、Task Type が Cycle に設定されている場合にのみ必要です。
Vulnerability Fix Configuration
Vulnerability Level:Vulnerability Level に基づいて修正が必要な脆弱性をフィルタリングします。
Select Manually:選択した Vulnerability に基づいて修正する脆弱性をフィルタリングします。
Snapshot Configuration
警告スナップショットスイッチを有効にすると、脆弱性修正タスクの実行時に追加のスナップショット料金が発生します。スナップショットの作成と保持には料金が発生し、スナップショット製品によって課金されます。デフォルトでは従量課金 (後払い) モードが使用されます。
Snapshot Configuration:このスイッチを有効にすると、修正タスクの実行時にシステムがスナップショットバックアップを作成します。これにより、問題が発生した場合でも、スナップショットを使用してシステムをロールバックし、サービスを迅速に回復できます。
Snapshot Name:識別可能な名前を設定します。例:脆弱性修正スナップショット。
Storage Period:スナップショットの保存期間を設定します。
設定: Auto-Repair Asset
すべてのアセット:修正可能な脆弱性が検出されたすべてのアセットを修正します。
重要修正には脆弱性修正クォータが消費されます。無駄を避けるため、このオプションは慎重に選択してください。
アセット別:自動修正タスクを実行できるアセットを指定します。
設定が完了したら、保存 をクリックします。
自動修正タスクの表示
システムは定期的にサーバーの脆弱性を取得し、設定された自動修正タスクのサイクルに基づいて修正操作を実行します。実行結果は次のように取得できます。
脆弱性管理 ページで、右上隅の タスク管理 をクリックします。
Auto Repair Task タブで、修正タスクの実行統計を表示できます。
説明定期タスクが実行されるたびにレコードが生成されます。
ステータス:タスクの実行ステータス。
Progress:タスク実行の進行状況。
Vulnerability Statistics:成功した修正と失敗した修正の数。
Host Statistics:影響を受けるホストの数。
対象タスクの 操作する 列にある 詳細 をクリックして、脆弱性の実行詳細を表示できます。
[対象サーバー] 列の前にある
アイコンをクリックすると、脆弱性番号、Handled At、ステータス など、修正されたすべての脆弱性の詳細を展開できます。
手動修正
修正ソリューションの取得
対応するタブの脆弱性告知リストで、対象の告知名をクリックします。
Application Vulnerability:Vulnerability Details タブで、影響範囲と Fixing Suggestions を確認します。
Linux Software Vulnerability/Windows System Vulnerability/Web-CMS Vulnerability:
Vulnerability Details エリアで、脆弱性の 操作する 列にある Fixing Suggestions をクリックします。
Alibaba Cloud 脆弱性データベースの [ソリューションの提案] セクションで、脆弱性の修正計画を確認します。計画に従ってサーバーにログインし、脆弱性を修正します。
修正ソリューションの実行
変更を加える前に、サーバーの手動スナップショットバックアップを作成します。
警告脆弱性の修正には一定のリスクが伴います。脆弱性を修正する前に、サーバーデータをバックアップしてください。脆弱性のあるサーバーが Alibaba Cloud ECS インスタンスである場合、スナップショットを作成してデータをバックアップできます。詳細については、「スナップショットの作成」をご参照ください。
SSH やリモートデスクトップなどの方法でサーバーにログインします。
取得した修正ソリューションに基づいて、ソフトウェアパッケージの更新や設定の変更など、対応するコマンドを実行します。
修正結果の表示
手動修正後、脆弱性のステータスはすぐには更新されません。Security Center による再スキャンで確認される必要があります。
脆弱性が修正されたら、Security Center コンソールに戻ります。
脆弱性告知の名前をクリックして脆弱性詳細パネルを展開します。パネルの Unhandled Vulnerabilities リストで、先ほど脆弱性を修正したサーバーを見つけます。
その 操作する 列にある 認証 をクリックして、脆弱性が修正されたかどうかを確認します。脆弱性が修正されると、そのステータスは Fixed に変わります。
説明ステータスが長時間更新されない場合は、ネットワーク遅延やキャッシュが原因である可能性があります。後でページを更新して確認してください。
ステップ 3:結果の検証と失敗のトラブルシューティング
脆弱性のステータスが Fixing Failed であるか、手動修正後の検証に失敗した場合は、以下の手順で問題をトラブルシューティングできます。
ワンクリック修正の失敗:これは通常、修正スクリプトの環境が異常であるためです。例えば、対象ファイルが変更された、ディスク容量が不足している、権限の問題などです。タスクの詳細で失敗の理由を確認し、手動で修正を試みることができます。
警告ワンクリック修正後、サーバーを再起動してください。修正に失敗した場合、脆弱性修正クォータは消費されません。
手動修正後の検証失敗:
修正操作が正しいか確認:サーバーで実行したコマンドや操作が、修正アドバイスと完全に同じであるか確認します。
コンポーネントのバージョンを確認:関連するソフトウェアやコンポーネントのバージョンが、修正ソリューションで要求されるバージョンにアップグレードされているか確認します。
スキャンの同期を待つ:脆弱性ステータスの更新はスキャン結果に依存するため、遅延が発生する場合があります。
ステップ 4 (任意):修正のロールバック
脆弱性修正後に業務上の例外が発生し、事前にスナップショットを作成している場合は、コンソールでロールバックを実行できます。手順は以下の通りです。
脆弱性管理 ページで、処理済み脆弱性の累計 の下にある数字をクリックします。
処理済み脆弱性の累計 パネルで、[ステータス] に Fixed を選択し、対象の脆弱性告知の [操作] 列にある Roll Back をクリックします。
ロールバックしたいスナップショットを選択し、OK をクリックします。
修正の延期 (Ignore/ホワイトリストを追加する)
脆弱性を修正する必要がないと確認した場合、繰り返しのアラートを避けるために、それを無視するかホワイトリストに追加するかを選択できます。
ホワイトリストを追加する:この操作は、設定された範囲 (デフォルトの範囲はすべてのアセット) 内で特定の種類の脆弱性に対するアラートを抑制します。これにより、関連するセキュリティリスクが見過ごされる可能性があるため、慎重に使用してください。
Ignore:無視操作は現在のプロセスに対してのみ有効です。アプリケーションが再起動したり、新しいプロセスが開始されたりすると、脆弱性が再度検出される可能性があります。
機能 | Ignore | ホワイトリストを追加する |
範囲 | 単一のアセット上の単一の脆弱性インスタンスに適用されます。 |
|
永続性 | 一時的。プロセスが再起動すると、アラートが再度トリガーされる可能性があります。 | ホワイトリストルールが手動で削除されるまで永続します。 |
ユースケース |
|
|
Ignore
手順
脆弱性管理 ページの Linux Software Vulnerability などの脆弱性タブで、対象の脆弱性告知を見つけます。
告知名をクリックして脆弱性告知詳細ページに移動します。Unhandled Vulnerabilities セクションで、脆弱性を無視する 1 つ以上のサーバーを選択します。
リストの下にある Ignore をクリックし、備考を入力して OK をクリックします。
説明また、個々の脆弱性に対して、「操作」列の
の下にある Ignore をクリックすることもできます。
無視の表示とキャンセル
脆弱性管理 ページに戻り、処理済み脆弱性の累計 の下にある数字をクリックします。
処理済み脆弱性の累計 パネルで、[ステータス] を Ignored に設定して、すべての無視された脆弱性のリストを表示します。
対象の脆弱性報告の [操作] 列にある Cancel Ignore をクリックします。
ホワイトリストを追加する
手順
方法 1:
脆弱性管理 ページの Linux Software Vulnerability などの脆弱性タブで、処理する 1 つ以上の脆弱性告知を選択します。
リストの左下隅にある ホワイトリストを追加する をクリックします。
重要この方法は、デフォルトで すべてのアセット に適用されます。
方法 2:
脆弱性管理 ページで、右上隅の 脆弱性管理の設定 をクリックします。
脆弱性ホワイトリストの設定 タブで、ルールを新しく追加する をクリックします。
以下のように設定を構成した後、OK をクリックします。
Select Vulnerability:許可リストに追加する 1 つ以上の脆弱性告知を選択します。
Applied Assets:ホワイトリストの有効範囲を設定します。Asset Group または Hosts を選択した場合は、対応するターゲットデータを選択する必要があります。
ホワイトリストの表示と管理
脆弱性管理 ページで、右上隅の 脆弱性管理の設定 をクリックします。
脆弱性ホワイトリストの設定 タブで、すべてのチャネルに設定されているホワイトリストを表示できます。
変更/削除:ホワイトリストの [操作] 列にある 削除/編集 をクリックします。
削除:脆弱性を削除すると、再度検出されるようになります。
編集:Applied Assets (ホワイトリストの範囲) と備考のみ変更できます。
課金
脆弱性修正機能の使用には、以下の料金が発生する場合があります。
脆弱性修正サービス (従量課金):このサービスを有効にすると、ワンクリック修正機能を使用できます。料金は 0.3 米ドル/回で日次請求されます。脆弱性修正回数の計算ルールは以下の通りです。
最小単位:1 台のサーバーで 1 つのセキュリティ通知を正常に修正すると、1 回の修正としてカウントされます。
重要1 つのセキュリティ通知には、関連する複数の CVE が含まれる場合があります。通知を修正すると、含まれる CVE の数に関係なく、1 回の修正としてのみカウントされます。
脆弱性修正回数 = Σ (各サーバーで「修正済み」ステータスのセキュリティ通知の数)
重要修正は、サーバーが再起動し、ステータスが「修正済み」に変わった後にのみカウントされます。失敗した修正はカウントされません。
例:
Security Center を使用して、5 台のサーバーそれぞれで 10 件の異なるセキュリティ通知を正常に修正した場合:
脆弱性修正の合計回数 = 5 サーバー × 10 セキュリティ通知 = 50 回
スナップショットバックアップ費用:ワンクリック修正を実行する際は、スナップショットの自動作成と修復 を選択することを推奨します。この操作により、サーバーディスクのスナップショットバックアップが作成され、修正中に予期せぬ問題が発生した場合に迅速にロールバックできます。スナップショットの作成と保持には費用が発生し、ECS Snapshot サービスによって課金されます。例えば、40 GB のシステムディスクのスナップショットを作成し、1 日間保持する場合の費用は約 0.15 人民元です。
本番稼働
推奨される脆弱性修正手順
修正前
アセットの確認:サーバーアセットを検証し、脆弱性に関連するソフトウェアバージョンが実際に存在することを確認します。
リスク評価:ビジネスへの影響を評価し、修正の緊急性と必要性を判断します。すべての脆弱性が直ちに修正を必要とするわけではありません。
徹底的なテスト:ステージング環境にパッチをデプロイし、互換性とセキュリティを十分に検証し、詳細なテストレポートを作成します。
データバックアップ:ECS スナップショットの作成など、サーバーの完全バックアップを実行し、操作エラー後の迅速なロールバックを可能にします。
適切な時間を選択:ビジネスへの影響を最小限に抑えるため、オフピーク時に操作を実行します。
修正中
二人体制での操作:少なくとも 2 名の専門担当者が必要です。1 人が操作を行い、もう 1 人がレビューと記録を行い、ミスを防ぎます。
一つずつ修正:事前に定められた脆弱性リストと修正計画に厳密に従い、一つずつ修正します。
修正後
結果の検証:脆弱性が正常に修正され、システム機能とビジネスアプリケーションが正常に動作していることを確認します。
ドキュメントのアーカイブ:最終的な脆弱性修正レポートを作成し、アーカイブし、完全な操作プロセスを記録します。
主要なリスク回避策
詳細な計画の策定:実証・テスト済みの実現可能な修正計画を策定し、手順に厳密に従う必要があります。
シミュレーション環境でのテスト:本番環境 (システム、アプリケーション、データ) と同一のシミュレーションテスト環境を構築し、修正計画を十分に検証します。
完全なシステムバックアップ:スナップショットの自動作成と修復 オプションを選択して、完全なシステムバックアップ (システム、アプリケーション、データ) を実行し、その回復可能性を検証して、異常発生時にサービスを迅速に復旧できるようにします。
よくある質問
修正の制限と原則
脆弱性を修正しようとすると [修正] ボタンがグレーアウトするのはなぜですか?
製品エディションの制限
エディションが低すぎる:Free および Anti-virus エディションはワンクリック修正をサポートしていません。
解決策:「脆弱性修正」付加価値サービスを購入するか、Enterprise または Ultimate エディションにアップグレードします。
サーバーの問題
Linux
オペレーティングシステムがメンテナンスされなくなった:ベンダーがパッチを提供しなくなりました。オペレーティングシステムのバージョンを手動でアップグレードする必要があります。現在、以下のオペレーティングシステムの脆弱性は、OS をアップグレードして修正する必要があります。
Red Hat 5, Red Hat 6, Red Hat 7, Red Hat 8
CentOS 5
Ubuntu 12
Debian 8, 9, 10
ディスク容量不足:空き容量が 3 GB 未満です。ディスクをクリーンアップまたは拡張してください。
プロセスがビジー状態:
aptまたはyumプロセスが実行中です。終了するのを待ってから再試行するか、手動でプロセスを停止してください。権限不足:修正コマンドを実行するユーザーに十分な権限がありません。ファイル所有者が
rootユーザーであることを確認し、755などの適切な権限を設定してください。
Windows
ディスク容量不足:空き容量が 500 MB 未満です。ディスクをクリーンアップまたは拡張してください。
Windows Update サービスが異常:サービスが無効になっているか、実行中です。
無効:サーバーのシステムサービスマネージャーに移動し、Windows Update サービスを有効にしてから、再度脆弱性の修正を試みてください。
実行中:実行中の場合は、終了するのを待つか、サーバーで Wusa プロセスを手動で終了してから、再度脆弱性の修正を試みてください。
アプリケーションの脆弱性とシステムの脆弱性の違いは何ですか?なぜワンクリック修正はアプリケーションの脆弱性をサポートしないのですか?
Linux ソフトウェアの脆弱性や Windows システムの脆弱性などのシステム脆弱性は、オペレーティングシステムまたはそのコンポーネントの脆弱性です。その修正パスは標準化されているため、ワンクリック修正がサポートされています。
アプリケーションの脆弱性は、ウェブサイトのコードやサードパーティ製ソフトウェアなど、自己デプロイされたアプリケーションに存在します。その修正方法はビジネスロジックやコード実装と密接に関連しています。ビジネスを理解せずに自動的に修正することはできないため、手動で処理する必要があります。
なぜ私のサーバーにはこんなに多くの脆弱性があるのですか?
新しい攻撃手法が常に登場するため、古いソフトウェアバージョンでは継続的に脆弱性が発見されます。したがって、定期的なスキャンとパッチ適用は継続的なセキュリティタスクです。Show Only Exploitable Vulnerabilities スイッチをオンにして、重要なリスクに集中することができます。
修正操作
修正コマンドを実行すると「権限の取得に失敗しました。権限を確認して再試行してください」というメッセージが表示された場合はどうすればよいですか?
原因:修正操作に必要なファイルの所有者が
rootではないため、権限が不足しています。解決策:
ファイルの特定:
Security Center で、脆弱性の詳細を表示して、修正が必要な特定のファイルとそのパスを確認します。
権限の変更:
サーバーにログインし、次のコマンドを実行してファイル所有者を
rootに変更します。修正の再試行:
Security Center コンソールに戻り、脆弱性に対する修正操作を再度実行します。
脆弱性を一括で修正する場合、どのような順序で修正されますか?
Linux ソフトウェアの脆弱性と Web-CMS の脆弱性は、コンソールの脆弱性リストに表示される順序で一括修正されます。一部の Windows システムの脆弱性を修正するには、まず前提条件となるパッチをインストールする必要があります。Windows システムの脆弱性を一括で修正する場合、これらのタイプの脆弱性が最初に修正されます。残りの脆弱性は、コンソールの脆弱性リストに表示される順序で修正されます。
Ubuntu のカーネルパッチ脆弱性を修正した後、再起動しても効果がないのはなぜですか?
症状:Ubuntu サーバーのカーネル脆弱性に対して Security Center のワンクリック修正を使用した後、「修正済み、再起動待ち」と表示されるにもかかわらず、サーバーを再起動しても脆弱性アラートが依然として存在します。システムは新しくインストールされたカーネルを有効にしていません。
原因:これは通常、GRUB ブートメニューのデフォルトのブート順序が以前に手動で変更されたためです。この場合、システムの修正スクリプトは、新しくインストールされたカーネルをデフォルトのブート項目として自動的に設定できません。
解決策:
解決策 1:新しいカーネルを自動的に設定する
この解決策は、元のカスタム GRUB 設定を破棄し、システムが新しいカーネルのデフォルト設定を自動的に適用するようにします。
手順:
脆弱性修正を実行する前に、ご利用の Ubuntu サーバーにログインします。
次のコマンドを実行して環境変数を設定します。
<BASH> export DEBIAN_FRONTEND=noninteractiveSecurity Center コンソールに戻り、脆弱性に対してワンクリック修正を実行します。
修正が完了したら、プロンプトに従ってサーバーを再起動します。システムは自動的に最新のカーネルを有効にします。
解決策 2:ブート順序を手動で変更する
元の GRUB 設定を維持したい場合は、この解決策を選択できます。
手順:
Security Center コンソールで、通常のワンクリック修正を実行し、プロンプトに従ってサーバーを再起動します。
修正と再起動の後、ご利用の Ubuntu サーバーにログインします。
GRUB ブート順序を手動で変更し、新しくインストールされたカーネルバージョンをデフォルトのブート項目として設定します。
説明具体的な操作は通常、
/etc/default/grubファイルを変更し、update-grubコマンドを実行することを含みます。関連する操作については、「 ECS Linux CentOS のカーネルブート順序の変更」をご参照ください。サーバーを再度再起動して、新しいブート順序を有効にします。
脆弱性を修正した後、システムを再起動する必要がありますか?
Windows:再起動が必要です。
Linux Software Vulnerability:以下の条件のいずれかを満たす場合、再起動が必要です。
カーネルの脆弱性が修正された。
Security Center コンソールのページのLinux Software Vulnerabilityタブで、脆弱性に関する通知にはRestart Requiredタグがあります。
脆弱性のロールバック操作が失敗するのはなぜですか?
脆弱性のロールバック操作が失敗した場合、以下のパスに沿ってトラブルシューティングできます。
クライアント (エージェント) のステータスを確認する
ロールバック操作は、Security Center エージェントがオンラインであることに依存します。エージェントがオフラインの場合、コマンドを配信できません。まず、オフラインの問題をトラブルシューティングして解決する必要があります。
バックアップスナップショットが有効であることを確認する
ロールバック機能は、修正前に作成されたバックアップスナップショットに基づいています。スナップショットの有効期限が切れているか、手動で削除されている場合、ロールバックは実行できません。
脆弱性を修正する際にスナップショットの作成が失敗するのはなぜですか?
脆弱性を修正する際にスナップショットの作成が失敗する理由は以下の通りです。
現在の操作が RAM ユーザーによって実行されている:現在 RAM ユーザーを使用していて、そのユーザーにスナップショットを作成する権限がない場合、コンソールはスナップショットの作成に失敗したことを通知します。操作には Alibaba Cloud アカウントを使用することを推奨します。RAM ユーザーの詳細については、「RAM ユーザーの概要」をご参照ください。
サーバーが Alibaba Cloud サーバーではない:Alibaba Cloud 以外のサーバーは、脆弱性を修正するためのスナップショット作成をサポートしていません。
修正後のステータスと検証
脆弱性は修正されましたが、Security Center はまだそれを報告しています。どうすればよいですか?
一般的な原因:これは、一部の脆弱性、すなわち Linux カーネルの脆弱性が、修正後にサーバーの再起動を必要とするために発生します。
解決策:脆弱性の詳細ページで、Restart をクリックします。再起動が完了したら、認証 をクリックします。「修復済み」と表示されれば、脆弱性は正常に修正されています。
ホストは対応するパッチをインストールしていません。なぜ Windows の脆弱性が正常に修正されたと表示されるのですか?
これは Windows の更新メカニズムによって引き起こされる正常な現象です。最新の累積更新プログラムがインストールされていれば、それに含まれるすべての過去の脆弱性が修正されるため、古いパッチを一つずつインストールする必要はありません。
説明Microsoft の公式パッチウェブサイトにアクセスし、インストールされた最新のパッチ (通常は KB 番号で識別されます) を検索し、その「パッケージの詳細」を確認して、懸念している古い脆弱性をカバーしているかどうかを確認できます。
核心的な理由:Windows の累積更新メカニズム
Windows のセキュリティ更新プログラムは「累積」モデルを使用しています。これは、最新の月次セキュリティパッチが、リリース日までの過去数ヶ月間のすべてのセキュリティ修正を含むコレクションパッケージであることを意味します。
判断ロジック:Security Center がシステムに最新の累積更新プログラムがインストールされていることを検出すると、それがカバーするすべての古い脆弱性を「修正済み」とマークします。したがって、過去の各脆弱性に対して個別のパッチをインストールする必要はありません。
脆弱性を修正した後、なぜコンソールに「未修正」と表示され続けるのですか?
考えられる理由は以下の通りです。
検証の遅延:手動修正後、認証 ボタンをクリックして即時スキャンをトリガーする必要があります。ステータスの更新には数分かかります。
キャッシュの問題:コンソールページにキャッシュがある可能性があります。ページを強制的に更新するか、数分待ってみてください。
不完全な修正:修正操作が完全に成功しなかったか、複数の脆弱性パスがあり、1 つしか修正されなかった可能性があります。修正手順を再確認してください。
Fixed and Pending Restarted 状態の脆弱性:Security Center は自動的に検証できますか?
いいえ。Security Center コンソールからサーバーを再起動するか、手動でサーバーを再起動する必要があります。再起動が完了したら、認証 をクリックして、脆弱性が正常に修正されたかどうかを確認します。
重要積極的に検証しない場合、Security Center は後続の定期スキャン中に自動的にチェックします。システムが最初のスキャンで脆弱性を検出しなかった後、脆弱性情報を 3 日間保持します (ネットワークやその他の理由による誤判断を防ぐため)。3 日間連続で検出されなかった場合、システムは脆弱性レコードをクリアします。
脆弱性を修正した後に手動で検証しても応答がないのはなぜですか?
サーバーで脆弱性を手動で修正した後、Security Center コンソールの「検証」機能が脆弱性ステータスを「修正済み」に更新できない場合、通常は以下の 2 つの理由が考えられます。
不完全な脆弱性スキャンレベル設定
理由:Security Center は、脆弱性管理の設定 で選択されているリスクレベルのみをスキャンして更新します。対象の脆弱性のリスクレベル (例えば、重要または中) が選択されていない場合、システムはそのレベルの脆弱性のステータスを更新しません。
解決策:脆弱性管理の設定 のスキャンレベルが対象の脆弱性のリスクレベルをカバーしていることを確認します。
Security Center クライアント (エージェント) がオフライン
原因:「検証」機能は、コンソールとサーバー上のクライアント間のリアルタイム通信に依存します。クライアントがオフラインの場合、コンソールは検証コマンドを配信したり、結果を受信したりできません。
解決策:クライアントのオフライン問題をトラブルシューティングして解決します。オンラインに戻った後、再度検証操作を実行します。
付録:脆弱性詳細ページのパラメーター説明
脆弱性の詳細 | 説明 |
脆弱性番号 | 脆弱性の CVE ID。共通脆弱性識別子 (CVE) システムは、公に知られている情報セキュリティの脆弱性や露出に対する参照方法を提供します。CVE-2018-1123 などの CVE ID を使用して、CVE と互換性のあるデータベースで脆弱性修正に関する関連情報を照会できます。これは、セキュリティ問題を解決するのに役立ちます。 |
Impact Score | 脆弱性の共通脆弱性評価システム (CVSS) スコア。CVSS スコアは、広く受け入れられている業界標準に従い、脆弱性のいくつかの属性に依存する数式を使用して計算されます。スコアは、脆弱性の深刻度を定量化するために使用されます。スコアを使用して、脆弱性を修正する緊急性と重要性を判断できます。 以下のリストは、CVSS スコアリングシステムの深刻度評価スケールを説明しています。
|
Affected Assets | 脆弱性を持つサーバーアセットに関する情報。アセットのパブリック IP アドレスまたはプライベート IP アドレスを含みます。 |
緊急レベル | 脆弱性の深刻度レベルは、CVSS スコア、アセットの重要度、およびその他の要因に基づいて計算されます。以下が含まれます。
|
詳細 | 脆弱性管理 ページに移動し、Vulnerability 列で対象の脆弱性の名前をクリックします。Unhandled Vulnerabilities タブで、脆弱性の 操作する 列にある 詳細 をクリックして、影響を受けるアセット、修正コマンド、影響の説明などの情報を表示します。
|
、