ラピドセブン ジャパン カントリーマネージャー 牛込 秀樹氏

脆弱性リスク管理ソフトやペネトレーションテストのソリューションを手がけるRapid7(ラピド セブン)。出展していたJapan IT Weekのブースで、日本のカントリーマネージャーを務める牛込 秀樹氏に話を聞いた。

Rapid7は2000年に米国・ボストンで設立されたセキュリティベンダーで、2009年の企業買収を機に、海外進出を果たした。グローバルで顧客企業数は5,000社を超え、2015年の売上高は15億ドル(約1,630億円)以上にのぼる。

同社には主に「Nexpose」「Metasploit」「Appspider」「InsightIDR」という4製品がある。Nexposeは脆弱性リスク管理、Metasploitは業界標準のペネトレーションテスト、AppspiderはWebアプリケーションスキャナ、InsightIDRはユーザー行動分析・管理・可視化を行うソリューションとなる。

牛込氏は、チェックポイントやソフォスなどで役員を歴任し、2015年12月にカントリーマネージャーに就任。特に、脆弱性リスク管理製品「Nexpose」の国内展開を重点的に進めるため、チャネルやハイタッチモデルの強化を図っている。

脆弱性リスク管理とは何か?

米国では徐々に定着しつつある市場で、日本で広がりをみせる脆弱性診断とは異なり、常にシステム全般の脆弱性リスクをソリューションで管理するというものだ。年に1回、半期に1回、四半期に1回といった定期診断ではなく、システムに組み込んで常に監視する。資産管理系では、ソフトウェアのバージョン情報なども収集するタニウムのような例もあるが、脆弱性リスク管理に絞った製品はあまり普及が進んでいない。

脆弱性診断と脆弱性リスク管理の違い。定常性が大きな違いとなる

牛込氏は、脆弱性リスク管理について「(脆弱性に関する情報管理を)内製化する必要が出てきている」と指摘する。業種・業態を分け隔てなくサイバー攻撃の脅威に晒される中で、マルウェアの社内への侵入は必須と言われている。シグネチャ配信によるアンチウイルスの効果に疑問符がつく中、現時点で効果的な対策とされているサンドボックスタイプのアンチウイルスでさえ、仮想化環境の判別などからくぐり抜けるマルウェアが出てきている。

「セキュリティ業界全体が、(アンチウイルスなどの対策)に加えて、すり抜けたあとのディテクション、レスポンスが大事という方向に舵を切っています。管理者権限の取得、アカウントの乗っ取りなどに脆弱性を突かれる、そうした問題を回避するためにも、定期的な診断ではなく、定常的な管理が必要です」(牛込氏)

インシデントの半数近くをスキャンが占める。スキャナはシステムの脆弱性発見を目的に行われている

従前の資産管理系ソリューションとは異なり、バージョン管理以外にも脆弱性パッチ提供も行う。加えて、RSAやMcAfee、SplunkといったメジャーなSIEM(Security Information Event Management)製品とも連携するため、情報の効率的な管理が進められる。

>> ガートナーが新設する見込みの「ユーザー行動分析」とは?