可観測性(オブザーバビリティ)プラットフォーム「New Relic」を提供するNew Relicは2月9日、オンラインで記者説明会を開き、テクノロジースタック全体の脆弱性の特定や、対応の優先順位決定をすべて一カ所で行うことができるようになるセキュリティの新機能「New Relic Vulnerability Management」(脆弱性管理機能)の一般提供を開始すると発表した。脆弱性管理機能は、追加設定なしですぐに利用が可能となっている。

オブザーバビリティにセキュリティデータも

同社は2008年に米国で創業し、プラットフォームはシステム性能データやエコシステムデータ、ビジネスデータなど膨大なテレメトリデータを取り込み、分析することでデータを可視化・理解することを可能としている。

New Relic 執行役員 CTO(最高技術責任者)の松本大樹氏は「New Relicを利用することで、ユーザーにおけるデジタルサービスの性能や可用性、エラー、顧客体験を向上させることができる。今回の新機能はセキュリティデータも取り込むためのものだ」と述べた。

  • New Relic 執行役員 CTO(最高技術責任者)の松本大樹氏

    New Relic 執行役員 CTO(最高技術責任者)の松本大樹氏

新機能は既存のAPM(アプリケーションパフォーマンス管理)を使用して、継続的なランタイムソフトウェアの構成分析を可能としているほか、パフォーマンスや可用性の問題に加え、最も緊急性の高い脆弱性に優先順位を付けて修正することを容易にしている。

  • 「New Relic Vulnerability Management」の概要

    「New Relic Vulnerability Management」の概要

セキュリティに関する実用的な洞察を得ることでオープンなエコシステムを使用してチームが協力し、リスクの管理も可能だという。

松本氏は「お客さまのアプリが何で構成され、どこに配置しているのかを把握することで、脆弱性を自動的に特定し、安全性の確保が可能になる。これにより、アプリケーションコードのライブラリの脆弱性が特定できる。そのほかの領域については、サードパーティ製品をマッシュアップしてインフラまで特定が可能だ」と話す。

また、K2 Cyber Securityの買収で追加された新しいインタラクティブ・アプリケーション・セキュリティ・テスト(IAST、リミテッドプレビューで提供)が含まれ、これによりエンジニアチームはコードの変更や通常の業務を中断することなく脆弱性テストを実行できるという。

  • K2 Cyber Securityの買収によりセキュリティ機能を強化した

    K2 Cyber Securityの買収によりセキュリティ機能を強化した

New Relicが検知した脆弱性シグナルとサードパーティのセキュリティシグナルをTelemetry Data Platform(TDP)に統合。すべてのエンタープライズ・テレメトリデータを単一のツールでモニターし、管理することを可能としている。

さらに、埋め込み型クイックスタートを使用してNew Relicのオープンエコシステムにセキュリティデータを追加、またはNew RelicのセキュリティAPIを使用して任意のカスタムソースからセキュリティデータを追加することにより、スタック全体とソフトウェアライフサイクル全体のセキュリティビューを統合するとしている。(Snyk、Lacework、GitHub Dependabot、AWS Security Hub、Aquasec Trivyなど)

加えて、サービスカタログと関連付けられたソフトウェアスタック全体のセキュリティリスクを評価するほか、コードベースに新しい脆弱性が発見された時点でSlackおよびWebhook経由で通知する。

そのほか、システム内の脆弱性を洗い出し、合計したスコア表示を可能とし、APM Agentからアプリケーション内ライブラリの脆弱性をタイムリーに把握できる。技術スタック全体を可視化することで、運用、開発のエンジニアがセキュリティ情報も単一のツールで把握できることからセキュリティも含めた信頼性の向上が図れるとしている。

オブザーバビリティを民主化する

New Relic 代表取締役社長の小西真一朗氏は「オブザーバビリティは、製造・運輸や金融・通信、流通・小売、IT・サービス、メディア・エンターテイメントと着実に日本に浸透しつつある。現在のユーザー数は国内だけで1万6000人に達する」と述べている。

  • New Relic 代表取締役社長の小西真一朗氏

    New Relic 代表取締役社長の小西真一朗氏

なぜ、オブザーバビリティが普及しつつあるか。同氏によると、現在はシステムがビジネスそのものであり、こうした状況である以上はシステムを観測・制御する技術のオブザーバビリティは、すべての企業が経営戦略の一環として取り入れるべきだという。

  • システムはビジネスそのものになっているという

    システムはビジネスそのものになっているという

小西氏は「当社の戦略の核は“日本のオブザーバビリティを民主化する”だ。2018年に日本法人の設立、2019年にNew Relicのリリースと日本語サポート拠点の開設、2020年に価格体系を刷新してユーザー課金とし、2021年には誰もが全機能を使えるFree Tierライセンスの提供開始とトレーニングを無償化した。今回、民主化を促進するため脆弱性管理機能を追加するとともに、パフォーマンスとスケーラビリティを改善し、国内外におけるテクノロジーのエコシステムを拡大していく」と力を込めていた。

なお、価格はデータ保持期間の延長、ログの難読化、クエリ上限数の追加、FedRAMP/HIPAAコンプライアンスオプションなどデータパフォーマンスを強化した「Data Plus」利用の場合は無料で提供し、フリープランは現在のデータ取り込み(TDP)価格に0.10ドル/GB(=11円/GB)を上乗せすることで、任意の従量課金プランに脆弱性管理機能を追加することもできるという。

  • 価格表

    価格表