脆弱性情報をどこから入手するか？

コンテナイメージ内の脆弱性を検出することにおいて、どのようなデータソースから信頼できる脆弱性情報を入手するか？は重要なポイントです。脆弱性情報の代表的なソースとして、NVD（National Vulnerability Database）がありますが、NVDだけに依存する問題点として、ブログ記事中では以下の点を挙げています。

• Linuxディストリビューションが独自に修正した特定の脆弱性に関する、正しいバージョン範囲の情報を見逃してしまうことで、本来影響を受けない脆弱性に対するアラートを出してしまう可能性がある。
• Linuxディストリビューション自身が公開している特定の脆弱性データを見逃すことがある。
• ソフトウェアベンダーの中には、CVEの発行と並行、あるいはCVEを全く発行せずに、独自の専用ウェブページやフィードで脆弱性勧告を公開しているところもある。

そこで、Prisma Cloudでは複数の公式なデータソース（NVD,Linuxディストリビューション,様々なベンダからのセキュリティアドバイザリ情報）を組み合わせた最先端のメカニズムによって脆弱性情報をフィードしています。これによって、より信頼性の高い脆弱性アラートをお客様に提供できるようになっています。

CVE番号がリリースされていない脆弱性も独自にカバー

以下の図を見て頂くと、とても直感的で分かりやすいのですが、Prisma Cloudを利用すると、NVDやMITREではまだ報告されていないCVEに関する情報や、NVDやディストリビューションの脆弱性フィードにおいてメンテナがまだ分析中の脆弱性情報が提供されます。

多くの脆弱性は、CVEの割り当てがされる前に公に議論されたり、パッチが適用されているため、Palo Alto Network社が独自に「PRISMA ID」を付与しています。

このPRISMA IDの目的は、CVEを置き換えることではなく、脆弱性の公開からNVDへの追加までのギャップを埋めることにあり、お客様はより早期に該当する脆弱性のリスクを可視化できるようになっています。

画像：https://www.paloaltonetworks.com/blog/prisma-cloud/open-source-vulnerability-management/から引用

まとめ

コンテナイメージの脆弱性をシンプルに可視化できるツールは、無償のツールを含めて多数存在していますが、Prisma Cloudでは上記のように、より信頼性・リアルタイム性の高い脆弱性情報をお客様に届ける工夫がなされています。もちろん、コンテナイメージの脆弱性管理はPrisma Cloudが持つ幅広いコンテナセキュリティ機能のごく一部になります。コンテナセキュリティの実装にご関心のある方は、ぜひ弊社までお問合せください。