マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表

今回は「マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 マクニカは1月26日、実際のビジネスリスクなどに基づいてITシステムでの脆弱性対応を支援するというセキュリティサービス「LeanSeeks」を発表した。2月1日に提供を開始する。

 新サービスは、Software as a Service(SaaS)として提供される。企業や組織のユーザーが利用中の脆弱性検査のツールやサービス(当初はパロアルトネットワークスの「Prisma Cloud」に対応)のスキャン結果の情報と、スキャンを行ったシステム環境の情報をパラメーターとしてLeanSeeksにアップロードすると、ビジネスなどにおけるシステムの状況を踏まえて分析し、ユーザーが優先的に対応すべき脆弱性とその方法を通知する。通知内容をApplication Programming Interface(API)経由でセキュリティ管理製品などに取り込めるため、セキュリティの運用業務の効率化にも役立てられるという。

 分析可能なシステム基盤環境は、仮想マシン、コンテナー、Kubernetesの各インスタンス。ライセンスはインスタンス単位で、サービス購入は最低10ライセンスから。年単位の利用契約を伴う。ライセンス単価は要問い合わせ。同社は2025年に、このサービスとして年商10億円を見込んでいる。

 ソフトウェアなどの脆弱性は、サイバー攻撃者などに悪用されると、ITシステム環境の侵害やマルウェア感染といった被害を受けるため、基本的なセキュリティ対策方法の1つになる。理想は、ソフトウェア開発元などが提供する脆弱性修正プログラム(通称パッチ)をユーザーが全て迅速に適用することとされるが、同社は多くの企業や組織で現実に即した脆弱性対策が行われていない問題を提起し、今回のサービスを開発したと説明する。

 同社グループのセキュリティ対策を担当する瀬治山豊氏によれば、日本での脆弱性対策は、ITシステムの性質や重要性をほとんど考慮することなくあらゆる脆弱性の解消を大前提にしながら、現実にはそれができていない。そのため例えば、「共通脆弱性評価システム(CVSS)」での基本評価値(最大値10.0)が「7.0以上」、深刻度(低~高)では「高のみ」といった目安を自前で設定し、それに該当する脆弱性だけにパッチを適用するような状況にある。また、パッチを適用した際のシステムへの影響を調べることに長い時間を費やしており、その間に脆弱性を悪用するサイバー攻撃に狙われ、被害が発生することがあるとする

 米国では、国土安全保障省傘下でサイバーセキュリティを所管するCISAが、リスクの高いITシステムから優先して脆弱性対策を実施しており、米国の企業や組織での脆弱性対策は、CISAの方針を参考としつつ行われているという。

(※初出時に米国の状況に関する記述について正確性が欠けていましたため、修正しました。2022年1月26日)

 瀬治山氏は、米国のこの方法が日本の脆弱性対策における問題を解決する上での参考になるとする。ビジネスとITシステムの関係性、ITシステムに内在する脆弱性の内容、脆弱性がサイバー攻撃で悪用された場合の危険性や想定される被害などを踏まえて、リスクを評価する。リスク評価の結果に照らしてパッチを適用していく対策が必要だと説明する。

 瀬治山氏によれば、脆弱性情報は世界で年間に数万件が報告されているが、実際にサイバー攻撃で悪用され被害につながりかねない危険な脆弱性が占める割合は数%台という。またCVSSの評価は、脆弱性自体の内容などを示すもので、それが悪用された場合の被害の危険性を示すものにはならない。この点を誤解している企業や組織が多いという。

 近年は、脆弱性対策への認知が高まり管理体制も世界的に強化され、脆弱性の報告件数は増加傾向にある。CVSSで基本値が「7.0」以上や深刻度が「高」に分類される脆弱性の割合も高まる傾向にあるという。このため瀬治山氏は、CVSSの内容を誤用したまま脆弱性対策を行えば、運用が破綻する恐れがあるとも指摘している。

 今回のサービス責任者を務める前野秀彰氏は、新サービスの特徴として、現実のビジネスリスクに即した脆弱性対策の実施、ソフトウェアおよびサービスの開発段階におけるセキュリティ強化(通称「シフトレフト」「DevSecOps」など)の実現、クラウド環境との親和性の高さなどを挙げる。

 サービス提供開始後は、対応する脆弱性検査ツールやサービスの拡大、ユーザーのIT環境をより把握するためのパラメーター項目の拡充を図っていくという。

元記事: https://japan.zdnet.com/article/35182629/
IT関連 #セキュリティ

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
ソフトウェア開発で続くセキュリティ軽視–業界に求められる迅速な変化
IT関連
2022-04-14 12:43
マイクロソフトの緊急パッチに一部のプリンターで印刷できない不具合
IT関連
2021-07-12 09:19
ダッソーのイベントで見たモノ作りの進化形–胃の中を“探検”する超小型潜水艦も登場
IT関連
2024-03-02 15:49
DBMSの市場規模、DBaaSがオンプレミスに並ぶ。シェア1位はマイクロソフト、AWSがオラクルを抜いて2位に。ガートナーによる2021年の調査結果
AWS
2022-04-18 21:37
PoCの問題は技術ではなく人や組織にある–ガートナーがエンジニアの将来を展望
IT関連
2024-04-04 10:48
田島ルーフィング、床材事業の顧客管理に「Zoho CRM」を活用
IT関連
2022-03-31 20:48
「macOS」に「Google One VPN」をインストールするには
IT関連
2023-01-24 16:06
暗号資産で国境を越える面倒な「クロスボーダー決済」を簡単、迅速にできるようにするMercuryo
フィンテック
2021-06-27 03:00
ソラコムがIoTプラットフォーム「SORACOM」をWi-Fiや有線からも利用可能にする「SORACOM Arc」提供開始
IoT
2021-06-26 15:19
PostgreSQL 15正式リリース。ソートの改善で最大で400%高速に、SQL標準のMERGEコマンドサポートなど
PostgreSQL
2022-10-17 17:54
「シン・エヴァ」公開日は3月8日に IMAX、MX4D・4DXも同時公開
くらテク
2021-02-27 23:26
「Windows 10X」の新たなビルドのイメージが流出か
IT関連
2021-01-15 09:39
AIによるサイバー攻撃に備える–ディープフェイク使った高度なビジネスメール詐欺が脅威に
IT関連
2023-04-12 20:04
シスコ、「Cisco Plus」発表–「アズ・ア・サービス」の"NaaS"ソリューション提供へ
IT関連
2021-04-01 02:23