脆弱性スキャン
Vulnyは、インターネットに公開されたサーバーとWebアプリケーションに既知の脆弱性、設定ミス、露出したサービスがないかを継続的にチェックします。サイトに害を与えることなく、安全に実行します。
脆弱性スキャンは実際に何をチェックするのか?
脆弱性スキャンは、インターネットに公開されたどのサービスを攻撃者が侵入経路にできるかをチェックします。Vulnyはまず、開いているすべてのポートを発見し、その背後で動作しているソフトウェアとそのバージョンを正確に識別します — Webサーバー、データベース、メール、リモートアクセスサービスなど。次に、それぞれを357,755+ の脆弱性テストからなる検出データベースと照合します。これは既知のCVE、設定ミス、露出したファイル、脆弱なSSL/TLSを網羅します。一致したものはすべて、CVSSの深刻度、実環境で悪用されていることが判明している脆弱性を集めたCISA KEVリストに含まれるかどうか、EPSSによる悪用確率、公開された悪用コードが存在するかどうかで補強されます。その結果として、境界に何が露出し、どの弱点が実際に到達可能なのかが明確に一覧化されます — 攻撃者が偵察中に組み立てるのと同じ視点を、システムに一切触れず害を与えることなく、安全に提供します。
Vulnyはどの脆弱性を最初に修正すべきか、どう判断するのか?
Vulnyはすべての検出結果を実世界のリスクで順位付けするため、何千もの一覧に溺れることなく、本当に重要なごく一握りをチームが修正できます。すべてのCVEが同等ではありません。大半は決して悪用されませんが、ごく一部は公開から数日以内に武器化されます。Vulnyはそれらを見分けるために3つのシグナルを比較検討します — CVSSの深刻度スコア、動作する悪用コードが公開されているかどうか、そしてその欠陥が実際に悪用されるEPSS確率です。さらに、実環境で悪用が確認された脆弱性を列挙するCISA KEVカタログに含まれるものにフラグを立てます。いま現在攻撃を受けている中程度の深刻度のバグは、既知の悪用がない高深刻度のものよりも優先されます。結果として、上位の項目が攻撃者が最初に狙うものとなる、短く順序付けられた作業リストが得られます。
Vulnyはどのくらいの頻度で新しい脆弱性をチェックするのか?
Vulnyは、スケジュールされたスキャン時だけでなく、新たに公開された脆弱性に対して2時間ごとに資産を再チェックします。新しいCVEは24時間体制で National Vulnerability Database(NVD)から取り込まれ、公開された瞬間に、Vulnyがすでに把握しているお客様の稼働ソフトウェアとバージョンに照合します。まったく新しい脆弱性が境界上の何かに影響する場合、その公開と同じ日にイシューを起票して通知します — 通常、次の定期スキャンが検出するよりもはるかに早くです。これが重要なのは、攻撃者が公開から数時間以内に新たな脆弱性を武器化することが多いため、先週のクリーンなレポートが今日の保証にはならないからです。継続的な再チェックがそのギャップを埋めます。Vulnyが特定の資産に対する今日のライブな脅威をどのように可視化するかは、新興脅威スキャンをご覧ください。