マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表

今回は「マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 マクニカは1月26日、実際のビジネスリスクなどに基づいてITシステムでの脆弱性対応を支援するというセキュリティサービス「LeanSeeks」を発表した。2月1日に提供を開始する。

 新サービスは、Software as a Service(SaaS)として提供される。企業や組織のユーザーが利用中の脆弱性検査のツールやサービス(当初はパロアルトネットワークスの「Prisma Cloud」に対応)のスキャン結果の情報と、スキャンを行ったシステム環境の情報をパラメーターとしてLeanSeeksにアップロードすると、ビジネスなどにおけるシステムの状況を踏まえて分析し、ユーザーが優先的に対応すべき脆弱性とその方法を通知する。通知内容をApplication Programming Interface(API)経由でセキュリティ管理製品などに取り込めるため、セキュリティの運用業務の効率化にも役立てられるという。

 分析可能なシステム基盤環境は、仮想マシン、コンテナー、Kubernetesの各インスタンス。ライセンスはインスタンス単位で、サービス購入は最低10ライセンスから。年単位の利用契約を伴う。ライセンス単価は要問い合わせ。同社は2025年に、このサービスとして年商10億円を見込んでいる。

 ソフトウェアなどの脆弱性は、サイバー攻撃者などに悪用されると、ITシステム環境の侵害やマルウェア感染といった被害を受けるため、基本的なセキュリティ対策方法の1つになる。理想は、ソフトウェア開発元などが提供する脆弱性修正プログラム(通称パッチ)をユーザーが全て迅速に適用することとされるが、同社は多くの企業や組織で現実に即した脆弱性対策が行われていない問題を提起し、今回のサービスを開発したと説明する。

 同社グループのセキュリティ対策を担当する瀬治山豊氏によれば、日本での脆弱性対策は、ITシステムの性質や重要性をほとんど考慮することなくあらゆる脆弱性の解消を大前提にしながら、現実にはそれができていない。そのため例えば、「共通脆弱性評価システム(CVSS)」での基本評価値(最大値10.0)が「7.0以上」、深刻度(低~高)では「高のみ」といった目安を自前で設定し、それに該当する脆弱性だけにパッチを適用するような状況にある。また、パッチを適用した際のシステムへの影響を調べることに長い時間を費やしており、その間に脆弱性を悪用するサイバー攻撃に狙われ、被害が発生することがあるとする

 米国では、国土安全保障省傘下でサイバーセキュリティを所管するCISAが、リスクの高いITシステムから優先して脆弱性対策を実施しており、米国の企業や組織での脆弱性対策は、CISAの方針を参考としつつ行われているという。

(※初出時に米国の状況に関する記述について正確性が欠けていましたため、修正しました。2022年1月26日)

 瀬治山氏は、米国のこの方法が日本の脆弱性対策における問題を解決する上での参考になるとする。ビジネスとITシステムの関係性、ITシステムに内在する脆弱性の内容、脆弱性がサイバー攻撃で悪用された場合の危険性や想定される被害などを踏まえて、リスクを評価する。リスク評価の結果に照らしてパッチを適用していく対策が必要だと説明する。

 瀬治山氏によれば、脆弱性情報は世界で年間に数万件が報告されているが、実際にサイバー攻撃で悪用され被害につながりかねない危険な脆弱性が占める割合は数%台という。またCVSSの評価は、脆弱性自体の内容などを示すもので、それが悪用された場合の被害の危険性を示すものにはならない。この点を誤解している企業や組織が多いという。

 近年は、脆弱性対策への認知が高まり管理体制も世界的に強化され、脆弱性の報告件数は増加傾向にある。CVSSで基本値が「7.0」以上や深刻度が「高」に分類される脆弱性の割合も高まる傾向にあるという。このため瀬治山氏は、CVSSの内容を誤用したまま脆弱性対策を行えば、運用が破綻する恐れがあるとも指摘している。

 今回のサービス責任者を務める前野秀彰氏は、新サービスの特徴として、現実のビジネスリスクに即した脆弱性対策の実施、ソフトウェアおよびサービスの開発段階におけるセキュリティ強化(通称「シフトレフト」「DevSecOps」など)の実現、クラウド環境との親和性の高さなどを挙げる。

 サービス提供開始後は、対応する脆弱性検査ツールやサービスの拡大、ユーザーのIT環境をより把握するためのパラメーター項目の拡充を図っていくという。

元記事: https://japan.zdnet.com/article/35182629/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
ベロシティ Deep Dive。スクラムにおけるベロシティのアンチパターンと適切な使い方とは(後編)
アジャイル開発
2024-02-26 11:15
ドラクエ35周年記念特番、27日に配信 堀井雄二さん出演で新作への期待高まる
くらテク
2021-05-14 01:43
スタディプラス、教育機関向けコミュニケーション基盤と他社教材の学習記録を連携
IT関連
2024-04-06 10:20
つくば市、新型コロナワクチンの配送システム推進–106の医療機関全てに導入
IT関連
2022-10-29 16:25
Amazon、アレクサのウェイクワードや声、機能などカスタマイズできる「Alexa Custom Assistant」発表
クラウドユーザー
2021-01-19 08:49
[速報]オラクル、Java 8のままJava 17並の性能向上を得られるJava 8用パフォーマンスパックを発表。JavaOne 2022
Java
2022-10-19 00:04
それでも寿司を回したい–くら寿司、迷惑行為を防止するAIカメラシステム導入
IT関連
2023-03-04 09:35
サッポロビール、Teamsで使えるAIチャットボットで社内問い合せを効率化
IT関連
2022-02-25 09:54
日本オラクル、「Red Hat Enterprise Linux on OCI」を発表–OCI上のRHELを共同サポート
IT関連
2023-02-04 10:12
「Microsoft Teams」のトランシーバー機能、iOS版にもプレビュー提供
IT関連
2021-07-21 08:08
オラクル、1ラック型クラウド基盤マシンの提供開始
IT関連
2023-08-11 22:58
マイクロソフトと富士通、5年間の戦略的なグローバル協業を発表
IT関連
2023-05-30 17:26
Perforce、"DevOpsのパイオニア"Puppetを買収へ
IT関連
2022-04-15 03:33
ミドルエイジのデジタル力底上げを目指す–BBT大学、短期集中のデジタル人材育成プログラム
IT関連
2023-04-11 10:47