第15回 フリーツールで行うネットワーク脆弱性検査：知ってるつもり？「セキュリティの常識」を再確認（4/6 ページ）

[遠藤宣孝（三井物産セキュアディレクション），ITmedia]

　次にツールを使用した脆弱性検査を行い、使用しているサービスに脆弱性があるのか調査する。脆弱性検査で使用するツールにはさまざまなものがある。一般的なツールとしては次のものが挙げられる。

フリーウェア

• Nessus
• Network Security Analysis Tool（NSAT）
• SuperScan

商用ツール

• ISS Internet Scanner
• Shadow Security Scanner
• eEye Retina
• nCircle

　ここでは、上記からフリーウェアであるNessusを使用して脆弱性検査を行いたいと思う。Nessusは、ここからダウンロード可能である。現在の最新のバージョンは「2.2.4」である。

　Source Codeからコンパイルし、インストールすることも可能だが、インストール用のシェルスクリプトが用意されているので、これをダウンロードしてインストールする方が楽だろう。インストール用のシェルスクリプトではsharutilsがインストールされていないと、エラーが出てしまう。事前にsharutilsのインストールが必要である。また、NessusのGUIを使用するにはgtkなどのライブラリも必要である。インストールの詳細についてはWebにて確認して頂きたい。

Nessusを使用する

　では、Nessusを使用して検査を行いたいと思う。起動する前に「nessus-update-plugins」コマンドを実行し、プラグインのアップデートを行う。その後、「nessusd -D」コマンドを実行して、Nessusサーバを起動させる。

　Nessusはクライアント・サーバ方式で動作するため、まずNessusサーバを起動した後、クライアントを起動してサーバにログインする必要がある。クライアントの起動には「nessus」コマンドを実行する。クライアントが起動すると図13のWindowが表示されるので、登録したユーザとパスワードを入力し、ログインを行う。

図13