すべてのプロダクト
Search
ドキュメントセンター

Security Center:脆弱性の管理

最終更新日:Jun 04, 2026

攻撃者は、ご利用のシステムやアプリケーションに存在する脆弱性を悪用する可能性があります。資産を保護し、潜在的なリスクを軽減するためには、これらの脆弱性を迅速に検出し、修正することが不可欠です。Security Center は、ご利用の資産全体でさまざまな脆弱性を検出し、詳細な情報と修正ガイダンスを提供します。また、一部の脆弱性についてはワンクリックでの修正もサポートしており、効率的なリスク管理を実現します。

脆弱性の発見と評価

脆弱性を修正する前に、その脆弱性が資産にもたらすリスクを正確に特定・評価する必要があります。

脆弱性の概要

  1. Security Center コンソール > リスクガバナンス > 脆弱性管理にアクセスします。左上隅で、資産が配置されているリージョンを選択します:Chinese Mainland または Outside Chinese Mainland

  2. 脆弱性の概要を表示する

    脆弱性管理ページの上部には、脆弱性に関するサマリー統計が表示され、全体的なリスク状況を素早く把握できます。

    • High-priority Vulnerabilities (CVE):深刻度および悪用可能性に基づき、即時の対応が必要な脆弱性です。

      説明

      1 台のサーバーに複数の脆弱性が存在する場合、各脆弱性は個別にカウントされます。

    • Vulnerable Servers:脆弱性の影響を受けているサーバーの総数を示します。この数値をクリックすると、アセットセンター > サーバータブに移動し、影響を受けた資産を確認できます。

    • 修正中の脆弱性:この数値をクリックすると、現在修正中の脆弱性の一覧とその進捗状況を確認できます。

    • 処理済み脆弱性の累計:修正済み、無視済み、またはホワイトリスト登録済みの脆弱性の合計数です。情報アイコン image にカーソルを合わせると、Handled Vulnerabilities Todayを確認できます。

    • すでにサポートされている脆弱性:この数値をクリックすると、検出可能な脆弱性のリストパネルが開きます。このパネルでは、検出可能な脆弱性の一覧と、脆弱性 ID、検出方法、公開日などの詳細情報を確認できます。

脆弱性のフィルターと特定

大量の脆弱性アラートに対処する際には、効果的なフィルタリングが不可欠です。以下の 3 つのアプローチから始めることを推奨します。

  • Show Only Exploitable Vulnerabilities」フィルターを有効にしてノイズを自動的に削減する

    この方法により、理論上のリスクしか持たず、実際には悪用が困難な低優先度の脆弱性が自動的に除外されます。

    • 説明

      • この機能は、Alibaba Cloud の脆弱性評価モデルを使用して、弱点スコア、時間、環境、資産の重要度、および悪用可能性データ(PoC/EXP)などの要素を考慮し、実際に脅威となる脆弱性を自動的に特定します。

      • Automatic Vulnerability Remediationも有効にしている場合、フィルターで除外された低リスク脆弱性に対しては自動修正タスクがトリガーされません。これにより、利用可能な脆弱性修正クォータなど、不要な修正リソースの消費を防ぎます。

    • 手順:ページ右上隅にあるShow Only Exploitable Vulnerabilitiesスイッチをオンにします。

  • AI 分析」を使用して詳細な評価を行う

    • 説明:大規模 AI モデルを使用して、脆弱性の概要、外部での悪用の人気度および攻撃パスの分析、コンテキストに応じた修正アドバイスを提供します。これにより、複雑な脆弱性リスクをより正確に評価できます。

    • 手順

      1. 対象のVulnerability名をクリックして、詳細ページに移動します。

      2. Vulnerability Detailsエリアで、脆弱性番号の横にあるAI 分析をクリックします。

  • 精密にフィルターして迅速に特定する

    プラットフォームのフィルタリングおよびソート機能を使用して、特定の脆弱性や関心のある資産を迅速に特定できます。

    • AI アプリケーション関連の脆弱性をフィルターする:

      • 説明:Security Center は、データ侵害や不正なモデルアクセスを引き起こす可能性のある、AI アプリケーション(モデルやフレームワークなど)の脆弱性を検出し、一元的に表示します。

      • 手順:脆弱性管理ページのApplication Vulnerabilityタブで、Display Only AI-related Vulnerabilitiesチェックボックスをオンにします。

    • Affected Assets」列の理解

      この列には、脆弱性の影響を受けている資産数が表示され、色で修正の緊急性が示されます。

      • 赤:修正の緊急性がHighのサーバー数。

      • オレンジ:修正の緊急性がMediumのサーバー数。

      • グレー:修正の緊急性がLowのサーバー数。

脆弱性の詳細

Vulnerabilityの名前をクリックすると、詳細パネルが展開され、詳細情報と影響を受けた資産の一覧を確認できます。詳細については、「付録:脆弱性詳細ページのパラメーター説明」をご参照ください。

  • 脆弱性の詳細:脆弱性の説明、CVSS 影響スコア(0.1~3.9 は、4.0~6.9 は、7.0~8.9 は、9.0~10.0 は重大)、影響を受けるコンポーネントのバージョンなどが含まれます。

  • 未対応脆弱性リスト:この脆弱性が検出されたすべてのサーバーを一覧表示します。このリストでは、各サーバーにおける脆弱性のステータスを確認できます。ステータスは以下のとおりです。

    説明

    1 台のサーバー上で複数のプロセスが脆弱性に一致する場合、リストに複数のエントリが表示されます。

    カテゴリ

    ステータス

    説明

    処理済み

    修正済み

    脆弱性が修正されています。

    修正失敗

    修正に失敗しました。これは、脆弱性のあるファイルが変更されたか、存在しなくなったことが原因である可能性があります。

    無視済み

    脆弱性がIgnoreとしてマークされており、Security Center はこの脆弱性についてアラートを生成しなくなります。

    脆弱性の有効期限切れ

    指定された期間内に脆弱性が再検出されませんでした。脆弱性タイプごとの有効期限は以下のとおりです。

    • Linux ソフトウェアの脆弱性、Windows システムの脆弱性:3 日

    • アプリケーションの脆弱性および緊急脆弱性:7 日

    • アプリケーションの脆弱性:30 日

    • 緊急脆弱性:90 日

    Unhandled

    未修正

    脆弱性は修正待ちです。

    検証中

    脆弱性を手動で修正した後、操作する列の認証をクリックします。Security Center が修正を確認している間、ステータスはUnfixedからVerifyingに変化します。

脆弱性の修正

脆弱性の修正

ステップ 1:修正方法の選択
  • ワンクリック修正: Security Center は、コンソール上でワンクリック修正機能を提供しており、サーバーにログインすることなく脆弱性の修正を自動化できます。

    • 重要な注意事項: カーネルの脆弱性を修正する際、システムはアップグレード後のカーネルバージョンが Security Center クライアントと互換性があるかどうかをチェックします。互換性がない場合、システムは修正を中断し、修正失敗ダイアログを表示します。このダイアログを閉じて再度修正を開始し、Mandatory Fixオプションを選択することで、互換性チェックをスキップして修正タスクを実行できます。詳細については、ステップ 2 の「ワンクリック修正」をご参照ください。

      警告

      強制修正ではクライアントの互換性チェックがスキップされるため、互換性リスクが生じる可能性があり、Security Center がサーバーを保護できなくなるおそれがあります。

    重要

    ワンクリック修正機能は、Application Vulnerabilityおよび緊急の脆弱性には対応していません。

    サービスモデル

    サービスエディション / 保護レベル

    説明

    Subscription

    Enterprise および Ultimate

    Linux Software VulnerabilityおよびWindows System Vulnerabilityの修正をサポートしています。

    Advanced

    Linux Software VulnerabilityおよびWindows System Vulnerabilityの修正をサポートしています。

    BasicValue-added PlanAnti-virus

    重要

    ワンクリック修正機能を使用するには、Vulnerability Fix付加価値サービスを購入する必要があります。購入手順については、「Security Center の購入」をご参照ください。

    Linux Software VulnerabilityおよびWindows System Vulnerabilityの修正をサポートしています。

    Pay-as-you-go

    すべての保護レベル

  • 自動修正:Automatic Vulnerability Remediationスイッチをオンにして自動修正タスクを設定することで、指定した時間に定期的に新しく検出された脆弱性を修正できます。

    重要
    • 自動修正タスクはワンクリック修正機能に依存しています。現在のエディションまたは脆弱性タイプでワンクリック修正機能がサポートされていない場合、自動修正もサポートされません。

    • 自動修正は、非カーネルの Linux システムの脆弱性のみをサポートしています。他の脆弱性タイプではサポートされていません。

  • 手動修正:現在のエディションまたは脆弱性タイプでワンクリック修正がサポートされていない場合、またはVulnerability Fix機能が有効になっていない場合は、サーバーにログインして、脆弱性の詳細に記載された修正提案に基づいて手動で修正する必要があります。

ステップ 2:修正の適用

ワンクリック修正

  1. セキュリティセンターコンソール - リスク管理 - 脆弱性管理にアクセスします。 ページ左上隅で、保護対象のアセットがあるリージョンとして Chinese Mainland または Outside Chinese Mainland を選択します。

  2. Linux Software VulnerabilityまたはWindows System Vulnerabilityタブで、対象のVulnerability名をクリックするか、操作する列のFixをクリックします。

  3. Unhandled Vulnerabilitiesセクションで、対象のサーバーを見つけ、操作する列のFixをクリックします。

    説明

    複数のサーバーを選択して、リスト下部のFixをクリックすることで、複数のサーバーの脆弱性を一度に修正することもできます。

  4. 表示されるダイアログボックスで、修正方法を選択します:スナップショットの自動作成と修復 または Skip Snapshot and Fix

    重要

    脆弱性の修正には、システムカーネルやソフトウェアバージョンのアップグレードが含まれる場合があり、互換性リスクが生じる可能性があります。業務の影響を最小限に抑えるため、オフピーク時間帯にこの操作を実行し、スナップショットの自動作成と修復オプションを選択することを推奨します。このオプションにより、問題が発生した場合に変更を迅速にロールバックできます。

  5. (オプション)Mandatory Fixを設定します。カーネルの脆弱性を修正する際、システムはアップグレード後のカーネルバージョンが Security Center クライアントと互換性があるかどうかをチェックします。互換性がない場合、システムは修正を中断し、修正失敗ダイアログを表示します。

    1. 修正失敗ダイアログを閉じ、対象の脆弱性の操作する列で再度Fixをクリックします。

    2. 修正ダイアログに、新しいMandatory Fixオプションが表示されます。このオプションを選択し、修正方法を選択して、Fix Nowをクリックして再試行します。

      重要

      脆弱性の修正には、システムカーネルやソフトウェアバージョンのアップグレードが含まれる場合があり、互換性リスクが生じる可能性があります。問題が発生した場合に迅速にロールバックできるよう、スナップショットの自動作成と修復オプションを選択することを推奨します。

  6. Fix Nowをクリックします。システムが修正タスクを開始し、脆弱性のステータスがFixingに変化します。修正が成功すると、ステータスはFixedに変化します。

自動修正

手順
  1. 脆弱性管理ページで、右上隅の脆弱性管理の設定をクリックします。

  2. Vulnerability Auto-remediation Settingsテーブルで、Automatic Vulnerability Remediationスイッチを有効にします。

  3. 自動修正ポリシーを設定する

    • Vulnerability Auto-Fix Schedule

      重要

      脆弱性の修正にはリスクが伴う可能性があります。業務への影響を最小限に抑えるため、オフピーク時間帯に修正を適用することを推奨します。

      • Task TypeOne-time(1 回のみ実行)またはCycle(定期的に実行)を選択します。

      • Execution Date :このパラメーターは、Task TypeOne-timeに設定されている場合に必須です。タスクを実行する具体的な日時を設定します。

      • 実行サイクル:このパラメーターは、Task TypeCycleに設定されている場合に必須です。Every DayまたはEvery Weekのいずれかを設定できます。

      • Execution Time:このパラメーターは、Task TypeCycleに設定されている場合に必須です。タスクを実行する時刻を指定します。

    • Vulnerability Fix Configuration

      • Vulnerability LevelVulnerability Levelを選択して、修正が必要な脆弱性をフィルターします。

      • Select Manually:選択したVulnerabilityに基づいて、修正が必要な脆弱性をフィルターします。

    • Snapshot Configuration

      警告

      スナップショットスイッチをオンにすると、脆弱性修正タスクの実行時に追加のスナップショット料金が発生します。スナップショットの作成および保持には料金が発生します。 スナップショットサービスがこれらの料金を請求します。デフォルトの課金方法は従量課金です。

      • Snapshot Configurationスイッチ:このスイッチをオンにすると、修正タスクの実行時にスナップショットバックアップが作成されます。問題が発生した場合、このスナップショットを使用してシステムをロールバックし、サービスを迅速に復旧できます。

      • Snapshot Name:例:vulnerability-fix-snapshot のように、わかりやすい名前を設定します。

      • Storage Period:スナップショットの保存期間を設定します。

  4. 設定 Auto-Repair Asset

    • すべてのアセット:修正可能な脆弱性が検出されたすべての資産を修正します。

      重要

      修正には脆弱性修正クォータが消費されます。不要な消費を避けるため、このオプションは慎重に使用してください。

    • アセット別:自動修正タスクを実行できる資産を指定します。

  5. 設定が完了したら、保存をクリックします。

自動修正タスクの確認

システムは定期的にご利用のサーバーをスキャンし、設定された自動修正スケジュールに基づいて脆弱性を修正します。実行結果を確認するには、次の手順を実行します。

  1. 脆弱性管理ページで、右上隅のタスク管理をクリックします。

  2. Auto Repair Taskタブで、修正タスクの実行統計を確認できます。

    説明

    定期タスクが実行されるたびに、新しいレコードが生成されます。

    • ステータス:タスクの実行ステータス。

    • Progress:タスクの実行進捗。

    • Vulnerability Statistics:修正成功および失敗の件数。

    • Host Statistics:影響を受けたホスト数。

  3. タスクの操作する列で詳細をクリックして、実行の詳細を確認します。

  4. 対象のサーバーの横にあるimageアイコンをクリックして、修正されたすべての脆弱性の詳細(脆弱性番号Handled Atステータスなど)を展開します。

手動修正

  1. 修正プランの確認 

    該当タブの脆弱性リストで、対象の脆弱性名をクリックします。

    • Application VulnerabilityVulnerability Detailsタブで、影響範囲およびFixing Suggestionsを確認します。

    • Linux Software VulnerabilityまたはWindows System Vulnerability

      1. Vulnerability Detailsセクションで、脆弱性の操作する列のFixing Suggestionsをクリックします。

      2. Alibaba Cloud 脆弱性データベースのソリューション提案セクションで、脆弱性の修正プランを確認します。このプランに従って、サーバーにログインして脆弱性を修正します。

  2. 修正プランの適用

    1. 変更を行う前に、サーバーのバックアップとして手動でスナップショットを作成することを推奨します。

      警告

      脆弱性の修正にはリスクが伴う可能性があります。脆弱性を修正する前に、サーバーのデータをバックアップすることを推奨します。脆弱性のあるサーバーが Alibaba Cloud ECS インスタンスの場合、スナップショットを作成してデータをバックアップできます。詳細については、「スナップショットの作成」をご参照ください。

    2. SSH やリモートデスクトップなどの方法でサーバーにログインします。

    3. 修正プランに基づいて、必要なコマンド(ソフトウェアパッケージの更新や構成の変更など)を実行します。

  3. 修正結果の確認

    手動で修正を行った後、脆弱性のステータスはすぐに更新されません。次回の Security Center スキャン後にステータスが更新されます。

    1. 脆弱性を修正したら、Security Center コンソールに戻ります。

    2. 脆弱性の名前をクリックして詳細パネルを開きます。Unhandled Vulnerabilitiesリストで、修正を行ったばかりのサーバーを見つけます。

    3. 操作する列の認証をクリックして修正を確認します。検証が完了すると、ステータスはFixedに変化します。

      説明

      長時間ステータスが更新されない場合は、ネットワーク遅延やキャッシュの問題が原因である可能性があります。しばらくしてからページを再読み込みしてステータスを確認してください。

ステップ 3:結果の検証とトラブルシューティング

脆弱性のステータスがFixing Failedになっている場合や、手動修正後に検証が失敗した場合は、以下の手順で問題を解決してください。

  • ワンクリック修正の失敗

    • この問題は通常、修正スクリプト環境の例外(対象ファイルの変更、ディスク領域不足、権限の問題など)が原因で発生します。タスク詳細で失敗理由を確認し、手動修正を試行できます。

      警告

      ワンクリック修正後はサーバーの再起動が必要な場合があります。修正に失敗した場合、脆弱性修正クォータは消費されません。

    • カーネルの互換性チェック失敗。カーネルの脆弱性を修正する際、システムはアップグレード後のカーネルバージョンが Security Center クライアントと互換性があるかどうかをチェックします。互換性がない場合、システムは修正を中断します。再度ワンクリック修正を開始し、Mandatory Fixを選択して互換性チェックをスキップできます。

  • 手動修正後の検証失敗

    1. 修正が正しいことを確認する:サーバーで実行したコマンドまたは操作が、修正提案と一致していることを確認します。

    2. コンポーネントのバージョンを確認する:関連するソフトウェアまたはコンポーネントが、修正プランで要求されているバージョンにアップグレードされているかどうかを確認します。

    3. ステータス更新の遅延:脆弱性のステータス更新はスキャン結果に依存するため、遅延が発生する可能性があります。

ステップ 4(オプション):修正のロールバック

修正によってサービスに問題が発生し、事前にスナップショットを作成していた場合は、コンソールで変更をロールバックできます。

  1. 脆弱性管理ページで、処理済み脆弱性の累計の下の数値をクリックします。

  2. 処理済み脆弱性の累計パネルで、ステータスをFixedに設定し、対象の脆弱性を見つけます。その後、操作列のRoll Backをクリックします。

  3. ロールバックに使用するスナップショットを選択し、OKをクリックします。

修正の延期(Ignoreまたはホワイトリストを追加する

脆弱性を修正する必要がないと判断した場合は、無視するかホワイトリストに追加して、繰り返しアラートが発生しないようにできます。

  • ホワイトリストを追加する:この操作により、設定されたスコープ内で特定のタイプの脆弱性に対するアラートが抑制されます。デフォルトのスコープはすべての資産です。これにより、関連するセキュリティリスクを見逃す可能性があるため、慎重に使用してください。

  • Ignore:無視操作は現在のプロセスにのみ影響します。アプリケーションを再起動するか、新しいプロセスを開始すると、Security Center が再度脆弱性を検出する可能性があります。

機能

Ignore

ホワイトリストを追加する

スコープ

単一資産上の単一の脆弱性インスタンスに適用されます。

  • CVE ID などの脆弱性クラスに適用されます。

  • デフォルトのスコープはすべてのアセットです。HostsまたはBy Asset Groupを選択することで、スコープを特定の資産に変更できます。

永続性

一時的です。プロセスを再起動すると、再度アラートがトリガーされる可能性があります。

ホワイトリストルールを手動で削除するまで永続します。

ユースケース

  • 特定の脆弱性がリスクでないことを確認済みです。

  • 一時的にリスクを受け入れ、後で対応する予定です。

  • 特定のタイプの脆弱性が誤検知であることを確認済みです。

  • ビジネス上の理由で特定のタイプの脆弱性のリスクを受け入れており、修正する予定はありません。

Ignore

手順

  1. 脆弱性管理ページで、Linux Software Vulnerabilityなどの該当タブに移動し、対象の脆弱性を見つけます。

  2. 脆弱性名をクリックして詳細ページを開きます。Unhandled Vulnerabilitiesセクションで、脆弱性を無視するサーバーを 1 台以上選択します。

  3. リスト下部のIgnoreをクリックし、理由を入力して、OKをクリックします。

    説明

    各行のimageアイコンをクリックして、操作列のIgnoreをクリックすることもできます。

無視の確認とキャンセル

  1. 脆弱性管理ページに戻り、処理済み脆弱性の累計の下の数値をクリックします。

  2. 処理済み脆弱性の累計パネルで、ステータスをIgnoredに設定して、無視されたすべての脆弱性の一覧を表示します。

  3. 対象の脆弱性を見つけ、操作列のCancel Ignoreをクリックします。

image.png

ホワイトリストを追加する

手順

  • 方法 1

    1. 脆弱性管理ページで、Linux Software Vulnerabilityなどの該当脆弱性タブに移動し、処理する脆弱性を選択します。

    2. リスト左下隅のホワイトリストを追加するをクリックします。

      重要

      この方法のデフォルトでは、すべてのアセットに適用されます。

  • 方法 2

    1. 脆弱性管理ページで、右上隅の脆弱性管理の設定をクリックします。

    2. 脆弱性ホワイトリストの設定タブで、ルールを新しく追加するをクリックします。

    3. 次の表に従ってパラメーターを設定し、OKをクリックします。

      1. Select Vulnerability:ホワイトリストに追加する脆弱性を 1 つ以上選択します。

      2. Applied Assets:ホワイトリストルールのスコープを設定します。Asset GroupまたはHostsを選択する場合は、対象の資産を選択する必要があります。

ホワイトリストの確認と管理

  1. 脆弱性管理ページで、右上隅の脆弱性管理の設定をクリックします。

  2. 脆弱性ホワイトリストの設定タブで、設定済みのすべてのホワイトリストルールを確認できます。

  3. ルールを変更または削除するには、ルールの操作列の編集または削除をクリックします。

    1. 削除:ルールを削除すると、Security Center は後続のスキャンで再度脆弱性を検出します。

    2. 編集Applied Assets(ホワイトリストルールのスコープ)と備考のみを変更できます。

課金

脆弱性修正機能には、以下の料金が発生します。

  • 脆弱性修正サービス(従量課金):この従量課金サービスを有効にすることで、ワンクリック修正機能を使用できます。修正ごとに0.30 USDが課金され、日次で請求されます。脆弱性修正数は次のように計算されます。

    • 最小単位: 1 台のサーバーで 1 件のセキュリティ通知を正常に修正すると、1 件の修正としてカウントされます。

      重要

      1 件のセキュリティ通知には複数の関連 CVE が含まれる場合がありますが、通知を修正すると、含まれる CVE の数に関係なく 1 件の修正としてカウントされます。

    • 脆弱性修正数 = Σ(各サーバーで「修正済み」ステータスになったセキュリティ通知の件数)

      重要

      修正は、サーバーを再起動してステータスが「修正済み」に変化した後にのみカウントされます。失敗した修正はカウントされません。

    • 例:

      Security Center を使用して、5 台のサーバーそれぞれで 10 件の異なるセキュリティ通知を正常に修正した場合:

      合計脆弱性修正数 = 5 台 × 10 件 = 50 件

  • スナップショットバックアップ料金:ワンクリック修正を実行する際は、スナップショットの自動作成と修復を選択することを推奨します。これにより、サーバーディスクのスナップショットバックアップが作成され、修正によって予期しない問題が発生した場合に変更を迅速にロールバックできます。スナップショットの作成および保持には料金が発生し、ECS スナップショットサービスによって請求されます。料金の詳細については、営業担当までお問い合わせください。

本番環境への適用

修正手順

  1. 修正前

    • 資産の確認: 影響を受けるソフトウェアバージョンがご利用のサーバー資産に存在することを確認します。

    • リスク評価: ビジネスへの影響を評価し、修正の緊急性と必要性を判断します。すべての脆弱性が即時の修正を必要とするわけではありません。

    • 徹底的なテスト: ステージング環境にパッチを適用します。互換性とセキュリティを完全に検証し、詳細なテストレポートを作成します。

    • データのバックアップ: エラーが発生した場合に迅速にロールバックできるよう、サーバーの完全バックアップ(例:ECS スナップショットの作成)を実行します。

    • 修正のスケジュール設定: ビジネスへの影響を最小限に抑えるため、オフピーク時間帯に修正を実行します。

  2. 修正中

    • 二人一組での作業: 少なくとも 2 名の専門家が在席することを確保します。エラーを防ぐため、1 名が作業を行い、もう 1 名がレビューおよび記録を行います。

    • 計画の遵守: 修正計画を厳密に遵守し、修正を順番に適用します。

  3. 修正後

    • 結果の検証: 脆弱性が修正され、すべてのシステム関数およびビジネスアプリケーションが正常に動作していることを確認します。

    • ドキュメントのアーカイブ: 脆弱性修正レポートの最終版を作成し、プロセス全体を文書化してアーカイブします。


リスク軽減

  • 詳細な計画の策定: 徹底的にテストおよび検証された実行可能な修正計画を作成します。実行中は定義された手順を厳密に遵守します。

  • シミュレーション環境でのテスト: 本番環境と同一のシステム、アプリケーション、データを備えたシミュレーションテスト環境を構築し、修正計画を完全に検証します。

  • 完全なシステムバックアップ: スナップショットの自動作成と修復オプションを選択して、システム、アプリケーション、データを含む完全なシステムバックアップを実行します。バックアップの復旧可能性を検証し、問題が発生した場合にサービスを迅速に復旧できるようにします。

よくある質問

修正の制限事項と原則

  • 修正ボタンがグレーアウトするのはなぜですか?

    • 問題:プロダクトエディションの制限

      • 原因ワンクリック修正機能は、Basic EditionまたはAnti-virus Editionではサポートされていません。

      • 解決策付加価値サービス (VAS)として「脆弱性修正」を購入するか、Enterprise EditionまたはUltimate Editionにアップグレードしてください。

    • 問題:サーバー側の問題

      Linux サーバーの問題

      • オペレーティングシステムがサポート終了 (EOL) 状態:ベンダーがもはやパッチを提供していません。手動でオペレーティングシステムをアップグレードする必要があります。以下のオペレーティングシステムの脆弱性を修正するには、OS のアップグレードが必要です。

        • Red Hat 5、Red Hat 6、Red Hat 7、Red Hat 8

        • CentOS 5

        • Ubuntu 12

        • Debian 8、9、10

      • ディスク領域不足:利用可能なディスク領域が 3 GB 未満です。領域を解放するか、ディスクを拡張してください。

      • プロセスが使用中apt または yum プロセスが実行中です。プロセスが完了するまで待つか、手動でプロセスを終了してから再試行してください。

      • 権限不足:修正コマンドを実行するユーザーに十分な権限がありません。root ユーザーがファイルの所有者であることを確認し、755 などの適切な権限を設定してください。

      Windows サーバーの問題

      • ディスク領域不足:利用可能なディスク領域が 500 MB 未満です。領域を解放するか、ディスクを拡張してください。

      • Windows Update サービスが正常に動作していない:サービスが無効になっているか、パッチのインストールが既に進行中です。

        • サービスが無効になっている場合、サーバーのサービスマネージャーで Windows Update サービスを有効にしてから、再度脆弱性の修正を試行してください。

        • 更新が進行中の場合、Wusa.exe プロセスが完了するまで待つか、手動でプロセスを終了してから、再度脆弱性の修正を試行してください。

  • アプリケーションの脆弱性とシステムの脆弱性の違いは何ですか? なぜワンクリック修正はアプリケーションの脆弱性をサポートしていないのですか?

    • システムの脆弱性Linux ソフトウェアの脆弱性Windows システムの脆弱性など)は、オペレーティングシステムまたはそのコンポーネントに影響を与えます。これらの脆弱性には標準化された修正パスがあるため、ワンクリック修正機能で修正できます。

    • アプリケーションの脆弱性は、Web サイトコードやサードパーティ製ソフトウェアなど、自己管理型アプリケーションに存在します。このタイプの脆弱性の修正方法は、お客様の特定のビジネスロジックおよびコードに密接に関連しています。自動化ツールはお客様のビジネスコンテキストを理解できないため、これらの脆弱性は手動で修正する必要があります。

  • なぜ私のサーバーにはこれほど多くの脆弱性があるのですか? 

    新しい攻撃手法が出現するにつれて、古いソフトウェアの脆弱性が継続的に発見されています。定期的なスキャンとパッチ適用は、不可欠かつ継続的なセキュリティタスクです。最も重要なリスクに集中できるように、Show Only Exploitable Vulnerabilitiesスイッチをオンにしてください。

修正操作

  • 修正コマンドを実行すると「権限の取得に失敗しました。権限を確認して再試行してください」というエラーが表示された場合はどうすればよいですか?

    • 原因: 修復操作に必要なファイルの所有者がrootではなく、権限が不十分です。

    • 解決策:

      1. ファイルの特定

        Security Center脆弱性の詳細を確認し、修正が必要な特定のファイルとパスを特定します。

      2. 権限の変更

        サーバーにログインし、次のコマンドを実行してファイルの所有者をrootに変更します。

      3. 修正の再試行

        Security Center コンソールに戻り、脆弱性の修正操作を再度実行します。

  • 脆弱性を一括で修正する場合、どのような順序で修正されますか?

    Linux ソフトウェアの脆弱性は、コンソールリストに表示されている順序で修正されます。一部のWindows システムの脆弱性は、前提となるパッチを最初にインストールする必要があります。Windows システムの脆弱性の一括修正を実行する場合、このような脆弱性が優先されます。残りの脆弱性は、コンソールリストに表示されている順序で修正されます。

  • Ubuntu でカーネルの脆弱性を修正した後、再起動しても正常に動作しないのはなぜですか?

    • 症状: Ubuntu サーバーで Security Center のワンクリック修正機能を使用してカーネルの脆弱性をパッチ適用した後、「修正済み、再起動待ち」と表示されます。しかし、サーバーを再起動した後も脆弱性アラートが消えず、システムが新しくインストールされたカーネルを使用していないためです。

    • 原因: この問題は通常、GRUB ブートメニューのデフォルト起動順序が手動で変更された場合に発生します。その結果、修正スクリプトが新しいカーネルをデフォルトの起動オプションとして設定できなくなります。

    • 解決策:

      解決策 1:新しいカーネルを自動的に構成する

      この解決策では、既存のカスタム GRUB 構成を破棄し、システムが新しいカーネルのデフォルト設定を自動的に適用できるようにします。

      手順:

      1. 脆弱性を修正する前に、Ubuntu サーバーにログインします。

      2. 次のコマンドを実行して環境変数を設定します。

        <BASH>
        
        export DEBIAN_FRONTEND=noninteractive
      3. Security Center コンソールに戻り、脆弱性ワンクリック修正を実行します。

      4. 修正が完了したら、指示に従ってサーバーを再起動します。システムが自動的に最新のカーネルを有効にします。

      解決策 2:起動順序を手動で変更する

      既存の GRUB 構成を維持する必要がある場合は、この解決策を使用できます。

      手順:

      1. Security Center コンソールワンクリック修正を実行し、指示に従ってサーバーを再起動します。

      2. サーバーが再起動したら、Ubuntu サーバーにログインします。

      3. GRUB の起動順序を手動で変更し、新しくインストールされたカーネルバージョンをデフォルトの起動オプションとして設定します。

        説明

        この手順では通常、/etc/default/grub ファイルを変更し、update-grub コマンドを実行します。詳細については、「ECS Linux CentOS インスタンスのカーネル起動順序の変更」をご参照ください。

      4. 新しい起動順序を有効にするために、サーバーを再度再起動します。

  • 脆弱性を修正した後、システムを再起動する必要がありますか?

    • Windows再起動が必要です。

    • Linux Software Vulnerability:以下のいずれかの条件を満たす場合、再起動が必要です。

      • カーネル脆弱性が修正されました。

      • Security Center コンソールリスクガバナンス > 脆弱性管理ページのLinux Software Vulnerabilityタブで、脆弱性の情報にはRestart Requiredタグが付いています。

        再起動が必要な Linux カーネルの脆弱性

  • 脆弱性ロールバック操作が失敗するのはなぜですか?

    脆弱性ロールバック操作が失敗した場合、以下の原因が考えられます。

    1. エージェントステータスの確認

      ロールバック操作には、Security Centerエージェントがオンラインであることが必要です。エージェントがオフラインの場合、コマンドを配信できません。まず、エージェントのオフライン状態をトラブルシューティングして解決する必要があります。

    2. バックアップスナップショットの有効性の確認

      ロールバック機能は、修復前に作成された バックアップスナップショットに依存します。スナップショットの有効期限が切れている、または手動で削除されている場合、ロールバック操作は実行できません。

  • 脆弱性を修復する際に、スナップショットの作成が失敗するのはなぜですか。

    スナップショットの作成が失敗する原因として、以下の理由が考えられます。

    • RAM ユーザーによる操作:必要な 権限 を持たない RAM ユーザー が操作を実行すると、スナップショットの作成は失敗します。 ご利用の Alibaba Cloud アカウント で操作を実行することを推奨します。 RAM ユーザーの詳細については、「概要」をご参照ください。

    • Alibaba Cloud 以外のサーバーAlibaba Cloud 以外のサーバーでは、脆弱性修復のためのスナップショット作成はサポートされていません。

修正後のステータスと検証

  • 脆弱性を修正しましたが、Security Center はまだ報告しています。どうすればよいですか?

    • 原因:Linux カーネルの脆弱性など、一部の脆弱性は修正後にサーバーの再起動が必要です。

    • 解決策脆弱性の詳細ページで、Restartをクリックします。再起動が完了したら、認証をクリックします。ステータスが「修正済み」に変化すれば、脆弱性は正常に修正されています。

  • Security Center が Windows の脆弱性を修正済みと表示していますが、ホストに特定のパッチがインストールされていないのはなぜですか?

    これは、Windows の更新メカニズムによる予想される動作です。最新の累積更新プログラムがインストールされていれば、その更新プログラムに含まれるすべての過去の脆弱性は修正済みとみなされます。古いパッチを個別にインストールする必要はありません。

    説明

    Microsoft Update Catalog の公式 Web サイトにアクセスして、最新のインストール済みパッチ(通常は KB 番号で識別)を検索し、パッケージの詳細を確認することで、懸念している古い脆弱性が置き換えられていることを確認できます。

    • 原因:Windows の累積更新モデル

      Windows のセキュリティ更新プログラムは累積モデルに従っています。つまり、最新の月次セキュリティパッチは、そのリリース日までに前の月からすべてのセキュリティ修正を含む包括的なパッケージです。

    • 検証ロジック:Security Centerがシステムに最新の累積更新プログラムがインストールされていることを検出すると、置き換えられたすべての脆弱性を修正済みとしてマークします。そのため、過去の各脆弱性に対して個別のパッチをインストールする必要はありません。

  • 脆弱性を修正した後、コンソールに「未修正」ステータスが表示されるのはなぜですか? 

    これは以下の理由で発生する可能性があります。

    1. 検証の遅延:手動修正後は、認証ボタンをクリックして即時スキャンをトリガーする必要があります。ステータスの更新には数分かかる場合があります。

    2. ブラウザーキャッシュコンソールページがブラウザーにキャッシュされている可能性があります。ページを強制的に再読み込みするか、数分待ってください。

    3. 修正が不完全:修正操作が完全に成功していない可能性があります。たとえば、脆弱性に複数の脆弱なパスが存在する場合、そのうち 1 つだけが修正された可能性があります。修正手順を確認して、再度試行してください。

  • Fixed and Pending Restarted:この状態の脆弱性を Security Center が自動的に検証することは可能ですか?

    いいえ。サーバーSecurity Center コンソールから再起動するか、手動で再起動する必要があります。サーバーが再起動したら、認証をクリックして脆弱性が修正されていることを確認します。

    重要

    手動で検証しない場合、Security Centerは次回のスケジュールされたスキャン中にステータスを自動的にチェックします。ネットワークの問題による偽陰性を防ぐため、最初のスキャンで検出されなかった場合でも、脆弱性レコードは 3 日間保持されます。脆弱性が 3 日連続で検出されない場合、システムはレコードを削除します。

  • 手動で脆弱性を修正した後、検証ステータスが更新されないのはなぜですか?

    サーバーで脆弱性を手動で修正した後、Security Center コンソールの「検証」機能で脆弱性のステータスが「修正済み」に更新されない場合、通常は以下の 2 つの理由が考えられます。

    • 脆弱性スキャンレベルが完全に設定されていない

      • 原因Security Centerは、脆弱性管理の設定で選択されたリスクレベルの脆弱性のみをスキャンしてステータスを更新します。対象の脆弱性のリスクレベル(高または中など)が選択されていない場合、システムはそのステータスを更新しません。

      • 解決策脆弱性管理の設定のスキャン設定を確認し、対象の脆弱性のリスクレベルが選択されていることを確認します。

    • Security Center エージェントがオフライン

      • 理由:「検証」機能は、コンソールとサーバー上のクライアント間のリアルタイム通信に依存しています。クライアントがオフラインの場合、コンソールは検証コマンドを送信したり、結果を受け取ったりできません。

      • 解決策:オフラインのエージェントの問題をトラブルシューティングします。エージェントがオンラインに戻ったら、再度検証を試行します。

付録: 脆弱性詳細パラメーター

パラメーター

説明

脆弱性番号

これは脆弱性の CVE ID です。共通脆弱性識別子 (CVE) は、広く認識されている情報セキュリティの脆弱性または公開された弱点に対して、一般に公開されている名前のリストです。CVE ID(例:CVE-2018-1123)を使用することで、他の CVE 互換データベースで対応する脆弱性修正に関する情報を迅速に検索し、セキュリティ問題の解決に役立てることができます。

Impact Score

CVSS スコアは、共通脆弱性評価システム (CVSS) に基づいています。これは広く採用されている業界標準です。スコアは、脆弱性のさまざまな属性に基づいた数式を使用して計算されます。主に脆弱性の深刻度を定量化し、脆弱性修正の緊急性と重要性を判断するのに役立ちます。

CVSS スコアリングシステムは、深刻度レベルを次のように定義しています。

  • 0:なし

  • 0.1~3.9:低

    • ローカルでのサービス拒否 (DoS) 攻撃を引き起こす可能性のある脆弱性。

    • その他の影響が低い脆弱性。

  • 4.0~6.9:中

    • 悪用にユーザーの操作が必要な脆弱性。

    • 攻撃者が標準ユーザー権限を取得できる脆弱性。

    • ローカルでの構成変更や情報収集後にさらに悪用可能な脆弱性。

  • 7.0~8.9:高

    • 攻撃者がサーバーまたはアプリケーションシステムで間接的に標準的な特権を取得できる脆弱性。

    • 任意のファイルの読み取り、ダウンロード、書き込み、または削除が可能な脆弱性。

    • 機密データの漏洩につながる可能性のある脆弱性。

    • サービス中断またはリモート DoS 攻撃を直接引き起こす可能性のある脆弱性。

  • 9.0~10.0:重大

    • 攻撃者がサーバーで直接システムレベルの特権を取得できる脆弱性。

    • 重要な機密情報への直接アクセスが可能で、データ侵害を引き起こす可能性のある脆弱性。

    • 機密情報への不正アクセスを許可する脆弱性。

    • その他の広範囲に影響を及ぼす脆弱性。

Affected Assets

脆弱性の影響を受けているサーバー資産に関する情報(パブリック IP アドレスまたはプライベート IP アドレスを含む)。

緊急レベル

脆弱性の深刻度は、CVSS スコア、資産の重要度、その他の要素に基づいて計算されます。レベルは以下のとおりです。

  • High:高リスクの脆弱性です。即時の修正を推奨します。

  • Medium:中リスクの脆弱性です。ビジネスのニーズに基づいて修正してください。

  • Low:低リスクの脆弱性です。ビジネスのニーズに基づいて、修正は任意です。

詳細

脆弱性管理ページで、Vulnerability列の対象脆弱性名をクリックし、Unhandled Vulnerabilitiesタブで、脆弱性の操作する列の詳細をクリックして、影響を受けた資産、修正コマンド、影響の説明などの情報を確認できます。

  • Fixing Command:このコマンドを実行して脆弱性を修正します。

    説明

    この機能は Basic Edition では利用できません。

  • Impact Description

    • Software:Security Center がご利用のサーバーで検出した脆弱性のあるソフトウェアとバージョン。例:mariadb-libs 5.5.52-1.el7。

    • Hit:検出をトリガーした条件。脆弱性は通常、インストールされているソフトウェアバージョンが必要なバージョンよりも古い場合にフラグが立てられます。例:mariadb-libs のバージョンが 5.5.56-2.el7 よりも古い場合に脆弱性が検出されます。

    • Path:ご利用のサーバー上の脆弱性のあるプログラムのパス。例:mariadb-libs のパスは /etc/ld.so.conf.d/mariadb-x86_64.conf です。

  • Caution (Read Before Further Operations):脆弱性に関するリスクアラート、追加の修正提案、参考資料を提供します。

    image