自動セキュリティスキャンツールTsunamiがGoogleからオープンソースで公開

アプリケーションの脆弱性をスキャンするTsunamiがGoogleからオープンソースで公開されました。アプリケーションの脆弱性をついたセキュリティ攻撃は、日々脅威を増しています。従来のように攻撃者が手動でハッキングを行うのではなく、脆弱なアプリケーションに対して自動攻撃をするような形態にシフトしているのです。Tsunamiでどのようなセキュリティ対策ができるのか紹介します。

コマンド実行するだけで脆弱性を発見できる

Tsunamiは主にアプリケーションやシステム開発者向けのツールです。開発したアプリケーションやシステムに脆弱性がないか確認することができます。元々はGoogleの社内でGoogle Kubernetes Engineをスキャンするためのツールとして使われていました。汎用性の高さからオープンソースのツールとして公開されたわけです。

Tsunamiでできることは、アプリケーションやシステムの脆弱性を数分でチェックし、結果を教えてくれるというもの。コマンドで実行するだけでスキャンできるので、普段システム開発や保守管理に携わっている方であれば特別ハードルは高くないはずです。

実行に必要なのは下記4点。

  • nmap
  • ncrack
  • Java
  • Docker

Java以外はインストールが必要な方もいるかもしれません。

具体的な実行方法についてはGithub上でわかりやすく解説されています。

https://github.com/google/tsunami-security-scanner

実行を完了すると、どの部分にどのような脆弱性があるのかがコマンド出力されます。

Google社内で使用されていた信頼性の高さ

Tsunamiが開発された背景には攻撃者のスピードアップがあります。ネット経由で行われるセキュリティ攻撃は現在自動化されており、攻撃者によって脆弱なシステムやアプリケーションが発見されるスピードは上がっています。

攻撃されてからセキュリティ対策を行なっていては遅いですし、かといって開発の時点で人力でスキャンを行うのは多大な労力がかかります。Tsunamiのような自動スキャンツールならば漏れなく簡単にリスクを軽減できます。Googleの社内で使われていたツールというのも信頼性を高める材料です。

こちらの記事もご覧ください。