情報セキュリティ10大脅威2024


脆弱性管理サービス概念

さくらインターネットのグループ会社でMCSSP(Managed Cloud & Security Service Provider)事業を展開するアイティーエム株式会社(本社:東京都新宿区、代表取締役社長:河本 剛志)、は、株式会社アシュアード(本社:東京都渋谷区、代表取締役社長:大森 厚志)が提供する脆弱性管理クラウド「yamory」を利用した脆弱性管理サービスを2024年5月15日より提供開始することをお知らせします。


■背景
社会がデジタル化に向かう昨今、安心・安全なデジタル社会を実現するにはサイバーセキュリティ対策がますます重要であります。サイバーセキュリティ対策は、セキュリティリスクに対し保全や防御を実施することですが、その多くはソフトウェアの脆弱性によりもたらされており、ソフトウェアの脆弱性管理が益々重要になっています。(ソフトウェアの脆弱性とは、ソフトウェアの非機能要件におけるバグであり、2023年度だけでも約39,000件発見されている)
しかしながら、多くの企業の脆弱性管理には課題があり、攻撃者に脆弱性を利用する機会を与えています。そのことを示す一例として、IPAが発表した“情報セキュリティ10大脅威2024”のうち4つの脅威が既知脆弱性を突いた攻撃であり、継続的な脆弱性管理を行っていれば、リスクの緩和が見込めた脅威であります。

画像1: https://www.atpress.ne.jp/releases/394544/LL_img_394544_1.png
情報セキュリティ10大脅威2024

このように、実は多くのセキュリティ侵害は、攻撃者が脆弱性を利用する前に正しくパッチを適用していれば防げたと言われており、企業(防御者)はソフトウェアのアップデート、パッチ、セキュリティアドバイザリー、脅威の報告などの脅威情報をタイムリーに入手し、定期的に環境を見直して、攻撃者よりも先にこれらの脆弱性を特定する一連の継続的な脆弱性管理が求められています。
加えて、新たなリスクとして、ソフトウェア・サプライチェーン・リスク※が指摘され、このリスクにも継続的な脆弱性管理が有効と言われております。

※ソフトウェア・サプライチェーン・リスク:ソフトウェア(=成果物)を開発、構築、配布するために使用されるコードやコンポーネント、ライブラリ、色々なツール、プロセスが複雑につながって構成されます。ソフトウェア・サプライチェーン・リスクは、このソフトウェア・サプライチェーンにある脆弱性によりもたらされるリスクを言います。
例えば、不正なプログラムの混入や改ざん、脆弱性なソフトウェアの使用で、8つのSupply chain threatsが指摘されています。( https://slsa.dev/spec/v1.0/threats-overview )


■脆弱性管理の課題
より生産的な脆弱性管理を行うには、1)資産情報の把握、2)脆弱性情報の収集、3)脆弱性の検知、 4)リスク評価、5)報告、6)循環プロセスが必要とされます。
しかしながら、当社が調査したところ、上記管理プロセスによる管理が実践出来ている企業はまだまだ少数で、多くの企業から課題の確認が取れております。

主な脆弱性管理の課題
●ソフトウェア・インベントリ(コンポーネント)の把握
●情報ソースが多岐にわたる脆弱性情報の収集
●システム毎のリスク評価
●ソフトウェア・サプライチェーン・リスクへの対応(今後重要となるポイント)
●各種ガイドラインへの対応と継続的な管理プロセスの確立(今後重要となるポイント)

これに加え、年間に発見される脆弱性の件数を考慮すると人海戦術で対応出来るレベルを超えており、システマチックで自動化された管理プロセスが必要になると多くの専門家が指摘しております。
Ref:NIST SP800-40 Rev.4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology.


■当社の提供する脆弱性管理サービスの特徴
当社は上記課題を解決することを目標に開発されたもので、これらの解決に加え、日次ベースでインベントリの更新から脆弱性の検知、優先順位付け、管理者への通知と、より実用的な脆弱性管理プロセスをリーズナブルな価格でご利用頂けます。
これにより、開発者を煩わしい脆弱性管理業務から解放し、開発業務に専念させることで、開発者のESと生産性向上に貢献します。

主なサービスの特徴
●ソフトウェア・インベントリ・ベースの脆弱性管理
●標準化を意識した脆弱性管理モデルの採用
●実用的な業務定義に基づくサービス内容
●管理に必須であるプロセス/ツール/フローをワンストップで提供
●ソフトウェア脆弱性管理で必須なSBOMにも対応

画像2: https://www.atpress.ne.jp/releases/394544/LL_img_394544_2.jpg
脆弱性管理サービス概念


脆弱性管理サービスの詳細
https://www.itmanage.co.jp/security/vul-management/

提供価格
110,000円(税込)/月額から


■yamoryについて
「yamory」は、ITシステムに潜む脆弱性を自動で検知し、管理および対策ができるクラウドサービスです。独自で構築した脆弱性のデータベースを使い、危険度のレベルを算出し、対応の優先度を自動で判断するオートトリアージ機能※を搭載しています。
※脆弱性自体の深刻度に、脆弱性が存在するシステムの使用状況と攻撃コードの有無を加味し、リスクの大きさに応じて自動で分類する機能のこと。特許取得済み。


■アイティーエム株式会社 会社概要
商号 : アイティーエム株式会社
設立 : 2017年1月4日
代表者 : 代表取締役社長 河本 剛志
所在地 : 東京都新宿区西新宿7-20-1 住友不動産西新宿ビル
Webサイト: https://www.itmanage.co.jp/
事業内容 :
Managed Service Provider(MSP)事業の草分け的存在としてシステム運用監視サービスの提供を通じて、さまざまな業種、業態のお客様から高評価をいただいております。また、クラウド、データセンター、セキュリティサービスなど、エンタープライズのお客様を中心に各種サービスを提供しておりますサービス事業者です。

本リリースに記載された全てのブランドや製品は各社の商標または登録商標です。記載の商品名、価格および担当部署、担当者、WebサイトのURLなどは、本リリース発表時点のものです。

情報提供元:@Press
記事名:「株式会社アシュアードが提供する脆弱性管理クラウド「yamory」を利用した脆弱性管理サービスをアイティーエムが提供開始 ~ソフトウェア開発で求められるSBOM(Software Bill of Materials)にも対応~