マクニカ、脆弱性に対するリスクの優先順位付けを自動化するSaaS

マクニカは1月26日、ソフトウェアに含まれるセキュリティ脆弱性に対するリスクのトリアージ(優先順位付け)を自動化するSaaS「LeanSeeks(リーンシークス)」2月1日より開始すると発表した。ソフトウェア開発で発生するセキュリティ脆弱性に対して、何を第一に優先して対処すべきかを提示し、サイバーリスクへの備えを支援する。

システムの脆弱性件数は年々増えている。CVE(Common Vulnerabilities and Exposures)によると、2011年に4155件だった脆弱性件数は、2020年には1万8,325件と、4.4倍に膨れ上がっている。APT (標的型攻撃)やランサムウェアなど、悪用された場合の影響が非常にクリティカルになっている。クリティカルな脆弱性の報告頻度は2013年には1件だったが、2021年では132件もあった。

しかし、「『脆弱性は全てリスクがあり危険なので対処すべき』『CVSS7.0以上の脆弱性は特に危険なため優先して対処が必要である』というのは誤解。すべての脆弱性に対策するのではなく、リスクベースで優先度を検討し緩急つけて対処すべきだ」と、マクニカ セキュリティソリューション技術部 課長 瀬治山豊氏は警告する。

• マクニカ セキュリティソリューション技術部 課長 瀬治山豊氏

同氏によると、公表される脆弱性の中で攻撃が可能で実際に悪用される脆弱性は約5%しかなく、残りの95%は、攻撃を行うための条件が不明であったり、攻撃方法が未実証だったりする脆弱性という。「あくまでも理論上の脆弱性がほとんどだ」(瀬治山氏)

• 公表される脆弱性の中で攻撃が可能で実際に悪用される脆弱性は約5%しかない

つまり、これからの脆弱性対策は、サーバの設置場所や保持する情報やインパクトも加味した上で、リスクの高い脆弱性を最優先で対処する必要があるということだ。瀬治山氏は「専用の脆弱性管理ツールの活用も考慮し、限られたリソースの中でも効果的にリスクに対抗することが重要だ」と述べた。

マクニカが提供を開始する「LeanSeeks」は、ユーザーのアセットごとのリスク属性を設定した上で、対応する脆弱性スキャナからの検出データを取り込むことで、トリアージを実行し結果を提示する。実際の脅威リスク・環境リスクを反映した高精度なトリアージを実現するという。企業は本当にリスクとなる脆弱性を見極め、対処の必要性の判断や優先順位付けができる。

• 「LeanSeeks」サービス概要

また、脆弱性スキャン自体の機能は提供せず、ユーザーがすでに利用している脆弱性スキャナの出力データをトリアージに利用するため、専用ツールの導入は不要だ。APIも提供するため、APIを活用した運用自動化が可能とのこと。

連携する脆弱性スキャナとしてPalo Alto Networks社 Prisma Cloudの脆弱性スキャン機能に対応。今後、2022年4月以降を目途にAmazon Web Servicesなどのパブリッククラウド上で提供されるサービスやオープンソースツールなど、幅広い脆弱性スキャナへの対応を行う予定。

なお、同サービスの料金は個別見積もり。コンテナや仮想マシンなどのトリアージ対象となるインスタンス数と同数以上のライセンスを購入する必要があり(最低購入数は10)、1年未満の期間で購入することはできないとしている。同社は、2025年までにSaaSビジネスの重要指標となるARR(年間経常収益)10億円を目指す方針だ。