New Relicは2月9日、アプリケーションの脆弱性を管理する「New Relic Vulnerability Management(脆弱性管理)機能」の一般提供を開始した。同機能は2022年10月にパブリックプレビューが発表されていた。
代表取締役社長の小西真一朗氏は、日本の92社を含む全世界14カ国約1620人のITの意思決定者と実務担当者を対象に実施した可観測性についての調査結果を引用し、日本の経営幹部の80%は関心があるとする一方で、回答者全体の52%が「ツールは一本化したい」と答えたと述べた。さらに、可観測性プラットフォームに期待されることとして、クラウドネイティブなアーキテクチャーの開発、セキュリティやコンプライアンスへのさらなる注力が挙げられたという。
これらの結果を受けて、New Relicは、セキュリティ領域へのさらなる注力に向けた同社プラットフォームに対する「脆弱性管理機能の追加」、単一プラットフォームでの可観測性の実現を後押しするための「パフォーマンスとスケーラビリティーの改善」、さらに「国内外テクノロジーエコシステムの拡大」といった強化を実施すると小西氏は語った。
脆弱性管理機能は、「New Relic」が既に搭載する30を超える可観測性機能に自動的に追加される。New Relicが検知した脆弱性情報とサードパーティーのセキュリティ情報を「Telemetry Data Platform(TDP)」に統合し、各種企業システムに対する遠隔監視でのデータを単一のツールに集約して管理できる。開発、セキュリティ、運用を担当する各チームは、サイロ化されたツールを切り替えることなく、アプリケーション上のセキュリティ問題を管理できるようになる。
New Relicの脆弱性管理機能の主な特徴は、追加設定不要で脆弱性を把握できるようにする。アプリケーションのソフトウェア構成全体のリスクを評価するための継続的なランタイムソフトウェア構成分析(SCA)を可能にする即時的かつ実用的なセキュリティ情報を追加設定することなく取得できる。
新たな脆弱性のテスト機能として、K2 Cyber Security買収によって追加された「Interactive Application Security Testing(IAST)」機能が限定試行版として提供される。
TDPにおける各種セキュリティ情報の連携方法は、「埋め込み型クイックスタート」機能を使用して公開されているサードパーティーのセキュリティ情報をRelic側に登録するか、あるいは、New Relicの「セキュリティAPI」を使用して任意のソースから情報を取り込む。現在、連携可能なものは「Snyk」「Lacework」「GitHub Dependabot」「AWS Security Hub」「Aquasec Trivy」などという
この機能では、脆弱性のリスクに応じて対応の優先順位付けを自動的に行える。サービスカタログと関連付けられたソフトウェア構成全体のセキュリティリスクを評価する。新たに公開された脆弱性情報のアラートにも対応し、「Slack」や「Webhook」経由でユーザーに通知する。
脆弱性管理機能の画面
執行役員 最高技術責任者(CTO)である松本大樹氏は、脆弱性管理機能では、アプリケーションのライブラリーの脆弱性を対象にしていると説明する。同氏によると、脆弱性管理について企業に話を聞くと、ツールを導入して脆弱性管理をしているものの、OSやミドルウェアのライブラリーまでという場合が多く、アプリケーションのライブラリーまで把握しているのは少ないという。
