編集部からのお知らせ
CNET_ID限定PDF「システム監視の新ワード」
注目の記事まとめ「Emotet」動向

マクニカ、現実のリスクに即した脆弱性対応を支援するSaaSを発表

國谷武史 (編集部)

2022-01-26 14:03

 マクニカは1月26日、実際のビジネスリスクなどに基づいてITシステムでの脆弱性対応を支援するというセキュリティサービス「LeanSeeks」を発表した。2月1日に提供を開始する。

 新サービスは、Software as a Service(SaaS)として提供される。企業や組織のユーザーが利用中の脆弱性検査のツールやサービス(当初はパロアルトネットワークスの「Prisma Cloud」に対応)のスキャン結果の情報と、スキャンを行ったシステム環境の情報をパラメーターとしてLeanSeeksにアップロードすると、ビジネスなどにおけるシステムの状況を踏まえて分析し、ユーザーが優先的に対応すべき脆弱性とその方法を通知する。通知内容をApplication Programming Interface(API)経由でセキュリティ管理製品などに取り込めるため、セキュリティの運用業務の効率化にも役立てられるという。

 分析可能なシステム基盤環境は、仮想マシン、コンテナー、Kubernetesの各インスタンス。ライセンスはインスタンス単位で、サービス購入は最低10ライセンスから。年単位の利用契約を伴う。ライセンス単価は要問い合わせ。同社は2025年に、このサービスとして年商10億円を見込んでいる。

「LeanSeeks」のサービスイメージ
「LeanSeeks」のサービスイメージ

実態に合わない脆弱性対策が横行

 ソフトウェアなどの脆弱性は、サイバー攻撃者などに悪用されると、ITシステム環境の侵害やマルウェア感染といった被害を受けるため、基本的なセキュリティ対策方法の1つになる。理想は、ソフトウェア開発元などが提供する脆弱性修正プログラム(通称パッチ)をユーザーが全て迅速に適用することとされるが、同社は多くの企業や組織で現実に即した脆弱性対策が行われていない問題を提起し、今回のサービスを開発したと説明する。

 同社グループのセキュリティ対策を担当する瀬治山豊氏によれば、日本での脆弱性対策は、ITシステムの性質や重要性をほとんど考慮することなくあらゆる脆弱性の解消を大前提にしながら、現実にはそれができていない。そのため例えば、「共通脆弱性評価システム(CVSS)」での基本評価値(最大値10.0)が「7.0以上」、深刻度(低~高)では「高のみ」といった目安を自前で設定し、それに該当する脆弱性だけにパッチを適用するような状況にある。また、パッチを適用した際のシステムへの影響を調べることに長い時間を費やしており、その間に脆弱性を悪用するサイバー攻撃に狙われ、被害が発生することがあるとする

 米国では、国土安全保障省傘下でサイバーセキュリティを所管するCISAが、リスクの高いITシステムから優先して脆弱性対策を実施しており、米国の企業や組織での脆弱性対策は、CISAの方針を参考としつつ行われているという。

(※初出時に米国の状況に関する記述について正確性が欠けていましたため、修正しました。2022年1月26日)

 瀬治山氏は、米国のこの方法が日本の脆弱性対策における問題を解決する上での参考になるとする。ビジネスとITシステムの関係性、ITシステムに内在する脆弱性の内容、脆弱性がサイバー攻撃で悪用された場合の危険性や想定される被害などを踏まえて、リスクを評価する。リスク評価の結果に照らしてパッチを適用していく対策が必要だと説明する。

 瀬治山氏によれば、脆弱性情報は世界で年間に数万件が報告されているが、実際にサイバー攻撃で悪用され被害につながりかねない危険な脆弱性が占める割合は数%台という。またCVSSの評価は、脆弱性自体の内容などを示すもので、それが悪用された場合の被害の危険性を示すものにはならない。この点を誤解している企業や組織が多いという。

従来の脆弱性対策の課題と今後の在り方
従来の脆弱性対策の課題と今後の在り方

 近年は、脆弱性対策への認知が高まり管理体制も世界的に強化され、脆弱性の報告件数は増加傾向にある。CVSSで基本値が「7.0」以上や深刻度が「高」に分類される脆弱性の割合も高まる傾向にあるという。このため瀬治山氏は、CVSSの内容を誤用したまま脆弱性対策を行えば、運用が破綻する恐れがあるとも指摘している。

 今回のサービス責任者を務める前野秀彰氏は、新サービスの特徴として、現実のビジネスリスクに即した脆弱性対策の実施、ソフトウェアおよびサービスの開発段階におけるセキュリティ強化(通称「シフトレフト」「DevSecOps」など)の実現、クラウド環境との親和性の高さなどを挙げる。

 サービス提供開始後は、対応する脆弱性検査ツールやサービスの拡大、ユーザーのIT環境をより把握するためのパラメーター項目の拡充を図っていくという。

過去に一般ニュースでも騒がれた脆弱性が全て深刻な被害をもたらしたわけではなく、やみくも対応するより実被害のリスクを適切に評価した上で対応すべきという
過去に一般ニュースでも騒がれた脆弱性が全て深刻な被害をもたらしたわけではなく、やみくも対応するより実被害のリスクを適切に評価した上で対応すべきという

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]