マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表

今回は「マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 マクニカは1月26日、実際のビジネスリスクなどに基づいてITシステムでの脆弱性対応を支援するというセキュリティサービス「LeanSeeks」を発表した。2月1日に提供を開始する。

 新サービスは、Software as a Service(SaaS)として提供される。企業や組織のユーザーが利用中の脆弱性検査のツールやサービス(当初はパロアルトネットワークスの「Prisma Cloud」に対応)のスキャン結果の情報と、スキャンを行ったシステム環境の情報をパラメーターとしてLeanSeeksにアップロードすると、ビジネスなどにおけるシステムの状況を踏まえて分析し、ユーザーが優先的に対応すべき脆弱性とその方法を通知する。通知内容をApplication Programming Interface(API)経由でセキュリティ管理製品などに取り込めるため、セキュリティの運用業務の効率化にも役立てられるという。

 分析可能なシステム基盤環境は、仮想マシン、コンテナー、Kubernetesの各インスタンス。ライセンスはインスタンス単位で、サービス購入は最低10ライセンスから。年単位の利用契約を伴う。ライセンス単価は要問い合わせ。同社は2025年に、このサービスとして年商10億円を見込んでいる。

 ソフトウェアなどの脆弱性は、サイバー攻撃者などに悪用されると、ITシステム環境の侵害やマルウェア感染といった被害を受けるため、基本的なセキュリティ対策方法の1つになる。理想は、ソフトウェア開発元などが提供する脆弱性修正プログラム(通称パッチ)をユーザーが全て迅速に適用することとされるが、同社は多くの企業や組織で現実に即した脆弱性対策が行われていない問題を提起し、今回のサービスを開発したと説明する。

 同社グループのセキュリティ対策を担当する瀬治山豊氏によれば、日本での脆弱性対策は、ITシステムの性質や重要性をほとんど考慮することなくあらゆる脆弱性の解消を大前提にしながら、現実にはそれができていない。そのため例えば、「共通脆弱性評価システム(CVSS)」での基本評価値(最大値10.0)が「7.0以上」、深刻度(低~高)では「高のみ」といった目安を自前で設定し、それに該当する脆弱性だけにパッチを適用するような状況にある。また、パッチを適用した際のシステムへの影響を調べることに長い時間を費やしており、その間に脆弱性を悪用するサイバー攻撃に狙われ、被害が発生することがあるとする

 米国では、国土安全保障省傘下でサイバーセキュリティを所管するCISAが、リスクの高いITシステムから優先して脆弱性対策を実施しており、米国の企業や組織での脆弱性対策は、CISAの方針を参考としつつ行われているという。

(※初出時に米国の状況に関する記述について正確性が欠けていましたため、修正しました。2022年1月26日)

 瀬治山氏は、米国のこの方法が日本の脆弱性対策における問題を解決する上での参考になるとする。ビジネスとITシステムの関係性、ITシステムに内在する脆弱性の内容、脆弱性がサイバー攻撃で悪用された場合の危険性や想定される被害などを踏まえて、リスクを評価する。リスク評価の結果に照らしてパッチを適用していく対策が必要だと説明する。

 瀬治山氏によれば、脆弱性情報は世界で年間に数万件が報告されているが、実際にサイバー攻撃で悪用され被害につながりかねない危険な脆弱性が占める割合は数%台という。またCVSSの評価は、脆弱性自体の内容などを示すもので、それが悪用された場合の被害の危険性を示すものにはならない。この点を誤解している企業や組織が多いという。

 近年は、脆弱性対策への認知が高まり管理体制も世界的に強化され、脆弱性の報告件数は増加傾向にある。CVSSで基本値が「7.0」以上や深刻度が「高」に分類される脆弱性の割合も高まる傾向にあるという。このため瀬治山氏は、CVSSの内容を誤用したまま脆弱性対策を行えば、運用が破綻する恐れがあるとも指摘している。

 今回のサービス責任者を務める前野秀彰氏は、新サービスの特徴として、現実のビジネスリスクに即した脆弱性対策の実施、ソフトウェアおよびサービスの開発段階におけるセキュリティ強化(通称「シフトレフト」「DevSecOps」など)の実現、クラウド環境との親和性の高さなどを挙げる。

 サービス提供開始後は、対応する脆弱性検査ツールやサービスの拡大、ユーザーのIT環境をより把握するためのパラメーター項目の拡充を図っていくという。

元記事: https://japan.zdnet.com/article/35182629/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
GMOあおぞらネット銀行、なりすまし不正を防止する認証サービスを新たに導入
IT関連
2022-08-27 01:13
ネクストミーツが長岡技術科学大学と提携、マメ科植物を材料に代替⾁に適性のある原料の研究開発
バイオテック
2021-06-08 09:26
Denoの作者ライアン・ダール氏らが「Deno Company」を立ち上げ。Denoの開発推進と商用サービスの実現へ
Deno
2021-04-05 03:07
クリテオ、リテールメディア向け広告配信基盤のBrandcrushを買収
IT関連
2023-03-09 21:39
伊藤園、コミュニティーメディア「CHAGOCORO」に海外販売支援サービス導入
IT関連
2022-11-09 08:26
データクリーンルームの「認定アナリスト」が伴走支援–電通デジタルが進めるマーケティング変革
IT関連
2023-12-19 02:42
名刺アプリEightでオンラインイベントを開催・参加できるプラットフォーム「Eight ONAIR」、Sansanが5月17日提供開始
ネットサービス
2021-05-14 16:21
出産やメンタルヘルスなどデリケートな問題のケアを女性が受けやすくするバングラディシュのMayaが約2.3億円調達
ヘルステック
2021-03-07 07:42
経理担当者、65%がインボイス制度への対応に不安–Sansan調査
IT関連
2022-09-23 00:20
【レビュー】さようならGalaxy Note、そのエッセンスは新Galaxy S22 Ultraの中に
IT関連
2022-02-21 17:23
きらぼし銀行、融資支援システムを構築へ–フューチャーアーキテクトが開発支援
IT関連
2022-07-05 14:29
NTTデータ経営研究所ら、高知県のゆず農園でローカル5Gを用いたスマート農業実証を開始
IT関連
2023-01-12 03:46
東大IPCがガンの診断・治療に役立つ独自抗体医薬を開発する凜研究所に2億円を出資
ヘルステック
2021-01-20 15:17
損保ジャパン、大規模言語モデルのリスク評価でRobust Intelligenceと協業
IT関連
2023-10-27 22:23