マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表

今回は「マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 マクニカは1月26日、実際のビジネスリスクなどに基づいてITシステムでの脆弱性対応を支援するというセキュリティサービス「LeanSeeks」を発表した。2月1日に提供を開始する。

 新サービスは、Software as a Service(SaaS)として提供される。企業や組織のユーザーが利用中の脆弱性検査のツールやサービス(当初はパロアルトネットワークスの「Prisma Cloud」に対応)のスキャン結果の情報と、スキャンを行ったシステム環境の情報をパラメーターとしてLeanSeeksにアップロードすると、ビジネスなどにおけるシステムの状況を踏まえて分析し、ユーザーが優先的に対応すべき脆弱性とその方法を通知する。通知内容をApplication Programming Interface(API)経由でセキュリティ管理製品などに取り込めるため、セキュリティの運用業務の効率化にも役立てられるという。

 分析可能なシステム基盤環境は、仮想マシン、コンテナー、Kubernetesの各インスタンス。ライセンスはインスタンス単位で、サービス購入は最低10ライセンスから。年単位の利用契約を伴う。ライセンス単価は要問い合わせ。同社は2025年に、このサービスとして年商10億円を見込んでいる。

 ソフトウェアなどの脆弱性は、サイバー攻撃者などに悪用されると、ITシステム環境の侵害やマルウェア感染といった被害を受けるため、基本的なセキュリティ対策方法の1つになる。理想は、ソフトウェア開発元などが提供する脆弱性修正プログラム(通称パッチ)をユーザーが全て迅速に適用することとされるが、同社は多くの企業や組織で現実に即した脆弱性対策が行われていない問題を提起し、今回のサービスを開発したと説明する。

 同社グループのセキュリティ対策を担当する瀬治山豊氏によれば、日本での脆弱性対策は、ITシステムの性質や重要性をほとんど考慮することなくあらゆる脆弱性の解消を大前提にしながら、現実にはそれができていない。そのため例えば、「共通脆弱性評価システム(CVSS)」での基本評価値(最大値10.0)が「7.0以上」、深刻度(低~高)では「高のみ」といった目安を自前で設定し、それに該当する脆弱性だけにパッチを適用するような状況にある。また、パッチを適用した際のシステムへの影響を調べることに長い時間を費やしており、その間に脆弱性を悪用するサイバー攻撃に狙われ、被害が発生することがあるとする

 米国では、国土安全保障省傘下でサイバーセキュリティを所管するCISAが、リスクの高いITシステムから優先して脆弱性対策を実施しており、米国の企業や組織での脆弱性対策は、CISAの方針を参考としつつ行われているという。

(※初出時に米国の状況に関する記述について正確性が欠けていましたため、修正しました。2022年1月26日)

 瀬治山氏は、米国のこの方法が日本の脆弱性対策における問題を解決する上での参考になるとする。ビジネスとITシステムの関係性、ITシステムに内在する脆弱性の内容、脆弱性がサイバー攻撃で悪用された場合の危険性や想定される被害などを踏まえて、リスクを評価する。リスク評価の結果に照らしてパッチを適用していく対策が必要だと説明する。

 瀬治山氏によれば、脆弱性情報は世界で年間に数万件が報告されているが、実際にサイバー攻撃で悪用され被害につながりかねない危険な脆弱性が占める割合は数%台という。またCVSSの評価は、脆弱性自体の内容などを示すもので、それが悪用された場合の被害の危険性を示すものにはならない。この点を誤解している企業や組織が多いという。

 近年は、脆弱性対策への認知が高まり管理体制も世界的に強化され、脆弱性の報告件数は増加傾向にある。CVSSで基本値が「7.0」以上や深刻度が「高」に分類される脆弱性の割合も高まる傾向にあるという。このため瀬治山氏は、CVSSの内容を誤用したまま脆弱性対策を行えば、運用が破綻する恐れがあるとも指摘している。

 今回のサービス責任者を務める前野秀彰氏は、新サービスの特徴として、現実のビジネスリスクに即した脆弱性対策の実施、ソフトウェアおよびサービスの開発段階におけるセキュリティ強化(通称「シフトレフト」「DevSecOps」など)の実現、クラウド環境との親和性の高さなどを挙げる。

 サービス提供開始後は、対応する脆弱性検査ツールやサービスの拡大、ユーザーのIT環境をより把握するためのパラメーター項目の拡充を図っていくという。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
ローカル5Gを利用した自動運転バスの公道実証、NECらが実施
IT関連
2022-02-17 03:14
「ビジネスPCに投資しないなんてあり得ない」 澤円氏が説く“高性能モデルを選ぶ意義”とは
PR
2021-06-23 22:28
データの扱いで大きな差–企業は消費者からの信頼をいかに維持すべきか
IT関連
2022-06-03 01:25
働き方のニューノーマル形成へ–コロナ後見据え、試行錯誤する企業
IT関連
2021-05-10 11:31
テラスカイ、成長領域への先行投資を継続–中期経営計画を見直し
IT関連
2023-04-18 05:42
保育施設で紙おむつが使い放題になるサブスク「手ぶら登園」を手がけるBABY JOBが約5億円の資金調達
ヘルステック
2021-07-31 20:35
NEC、広島市の介護予防・フレイル対策事業のデジタル化を支援
IT関連
2024-02-18 18:41
ブロードコム、ヴイエムウェアの現状を説明–ライセンス変更などにも言及
IT関連
2024-08-16 10:54
GitHub、「Code scanning autofix」パブリックベータ版を提供–検知された脆弱性に対してコード提案
IT関連
2024-03-23 13:10
Celonis、大阪で業務プロセスを変革する「メソッド」を提示
IT関連
2023-12-19 08:04
インフォマート、AIを活用して自社サービスの問い合わせ対応を効率化
IT関連
2023-06-14 20:55
プログラミング言語RustにGoogle、Microsoft、AWSなどが開発とメンテの拠点を提供
ソフトウェア
2021-02-10 05:42
NVIDIA CEO、AIにより人間の言葉がプログラミング言語となったことで、プログラミングを学ぶことは重要でなくなった、と発言
NVIDIA
2024-03-12 08:39
「ChatGPT」を使ったコードの書き直しと改善–有用ではあるが注意点も
IT関連
2023-06-18 07:51