企業のシステムはOSSや多様なミドルウェア、ネットワーク機器が複雑に組み合わさるソフトウェアサプライチェーンの上に成り立っている。しかし、その依存関係の複雑さは、セキュリティリスクの不可視化という新たな脅威を生み出した。増え続ける脆弱性情報、管理しきれないEOL、そして限られた人的リソース——。現場の担当者が抱えるこの構造的な課題に、どう立ち向かうべきか。
12月15日~16日に開催されたウェビナー「TECH+セミナー セキュリティ2025 Dec. 総決算 堅牢なセキュリティ組織を武装する 『サイバーレジリエンス』のすすめ」において、フューチャー Cyber Security Innovation Group シニアコンサルタントの木戸俊輔氏が登壇。同社が開発・提供する脆弱性管理サービス「FutureVuls」を用いた解決策を提示した。
-
フューチャー Cyber Security Innovation Group シニアコンサルタントの木戸俊輔氏
事業継続を脅かす、脆弱性放置のリスク
木戸氏は冒頭、昨今のサイバー攻撃の傾向について言及した。ランサムウェア被害や情報漏えいといった事業継続を揺るがす深刻なインシデントの多くは、既知の脆弱性が悪用されたことによって引き起こされているという。攻撃者は常にシステム構成の穴を探しており、修正パッチの適用や緩和策の実施といった日常的な備えこそが、サイバーレジリエンスを高める第一歩であると強調する。
しかし、その当たり前の対応が極めて困難になっているのが現状だ。管理すべき対象と情報量が爆発的に増加しているためである。
「年間4万件以上公開される新規脆弱性のなかから、自社に関係あるものを特定するだけでも困難です。さらに、資産の構成管理がExcelなどの手作業で行われている場合、メンテナンスが追い付かず、どこにリスクがあるかさえ把握できない状態に陥ります」(木戸氏)
「隠れEOL」という時限爆弾
脆弱性と並んで深刻なのが、ソフトウェアのEOL問題だ。木戸氏は同社が行った調査データを示し、警鐘を鳴らした。
主要なOSS約2万種類を調査したところ、活発にメンテナンスされているものは全体の約5割にとどまった。残りの約5割は、すでにEOLを迎えているか、公式なEOL宣言はないものの2年以上更新が停止している実質的EOL(開発停滞)の状態だったという。
「公式にサポート終了がアナウンスされないまま放置されているOSSは、修正パッチが出ない危険な状態です。管理コストが高く、これらに気付けない、あるいはどう対応してよいか判断できないといったところが、EOL問題の難しさであり課題となっています」(木戸氏)
運用の一元化と高度化を実現する「FutureVuls」
こうした課題に対し、木戸氏が提示する解決策が、国産クラウドサービス「FutureVuls」による徹底的な自動化だ。
FutureVulsは、資産の特定から脆弱性の検知、リスク評価、対策計画の策定、そしてチケット管理までを一気通貫で提供するプラットフォームである。
ここでは、同氏が解説した同サービスの具体的な機能と、現場の負荷を下げるための工夫を深掘りする。
1. 構成情報収集の柔軟性と自動化
脆弱性管理の第一歩は、資産を知ることだ。FutureVulsでは、サーバに軽量なスキャナをインストールすることで、OSやライブラリの構成情報を日次で自動同期する。
また、スキャナの導入が難しい閉域網やミッションクリティカルな環境向けには、専用のコマンド実行結果を手動でアップロードして同期するスキャナレスな運用も選択可能だ。これにより、あらゆる環境の資産情報を自動的に収集できる。
2. 直感的なUIでリスクを可視化
収集された情報は、管理コンソール上で即座に可視化される。
対象のサーバやネットワーク機器を選択すると、そこで検知された脆弱性がリストアップされる。CVE IDのほか、後述するトリアージ機能によって判定されたタスク優先度や影響を受けるソフトウェアのバージョンまでが一目で確認できるUIとなっている。
3. SSVCによる自動トリアージで、対応数を9割削減
最大の特徴は、検知した脆弱性の優先度を自動判断するトリアージ機能だ。
従来のCVSSスコア基準では要対応判定が半数以上を占め、現場は対応しきれなかった。FutureVulsでは、米国政府のサイバーセキュリティ当局(CISA)が推奨するSSVCという優先度付けのためのフレームワークを採用。攻撃コードの有無や環境情報を掛け合わせ、対応レベルを自動分類する。
木戸氏は「SSVCを活用することで、即時対応が必要な脆弱性を全体の数パーセントにまで絞り込めます」と強調する。
4. AIサマリと具体的指示で調査時間を短縮
検知後の調査支援も手厚い。脆弱性の詳細画面では、「FutureVuls AI」が英語情報が多く専門的で分かりにくい脆弱性の概要や影響範囲を要約して日本語表示。さらに、CVSS/EPSSスコア、KEVへの掲載有無、JPCERT/CCの情報などが一元的に集約される。また、アップデート用のコマンドや緩和策まで提示されるため、運用者は調査に時間を割くことなく、具体的なアクションに移ることができる。
5. チケットシステムで対応漏れを防止
対応漏れを防ぐため、検知した脆弱性は自動でチケット化され、ワークフロー管理が可能だ。「誰が」「いつまでに」対応するのかを明確にし、ステータスを追跡できる。
また、最新のアップデートでは、これまで手薄になりがちだったEOL情報の検知とチケット管理機能も実装された。これにより、脆弱性とEOLという2大リスクを同一プラットフォーム上で統合管理できるようになった点は、運用者にとって大きなメリットと言える。
マイナビにおける「工数削減」と「ガバナンス強化」
講演では、これらの機能がもたらす具体的な成果として、マイナビの導入事例が紹介された。同社では以前、Log4Shellのような大規模な脆弱性が発覚するたびに、各部署が手動で調査・対応を行っており、現場には多大な労力がかかっていたという。
FutureVulsの導入後、SSVCによる自動トリアージ機能が機能したことで、対応工数の大幅な削減に成功した。また、導入の決め手の1つとしてセキュリティ部門だけでなく、事業部の担当者にとっても分かりやすい点が挙げられた。結果として、システム横断的な管理が可能になり、全社的なセキュリティガバナンスの強化にもつながっている。これは、FutureVulsが組織全体のセキュリティ運用を変革した好例と言えるだろう。
セキュリティ専門家が評価する国産の強み
講演の後半では、SBテクノロジー プリンシパルセキュリティリサーチャーの辻伸弘氏と、インターネットイニシアティブ セキュリティ情報統括室 室長の根岸征史氏が登壇。セキュリティの最前線を知る専門家の視点から、FutureVulsの実効性が語られた。
辻氏は、判断の要となる脅威情報の質について質問。「GitHubなどで公開される攻撃コードには信頼性が不確かなものもあるが、そうしたものも加味されているのか」と、情報の精査プロセスについて尋ねた。木戸氏は、KEVへの掲載有無に加え、MetasploitやGitHub上の攻撃コードも収集したうえで、情報の信頼度によってレベル分けを行っていると説明した。
一方、根岸氏は、国産サービスであることの優位性に着目した。海外製の管理ツールでは、日本固有のソフトウェアや、国内でシェアの高いネットワーク機器がサポート対象外になることが多い。根岸氏は「JVNの情報を取り込み、日本の現場で使われている機器をしっかりカバーしている点は、国内企業にとって非常に心強い」と指摘。さらに、検知からチケット管理までを一気通貫で行えることで、トータルでの運用コスト削減に直結する点が、多くの企業に選ばれる理由だろうと分析した。
自動化でサイバーレジリエンスを高める
講演の最後、木戸氏はFutureVulsの3つの特徴として「運用コストの徹底削減」「OSSベースの高い透明性」「継続的な進化」を挙げた。
攻撃者が自動化されたツールで脆弱性を探してくる現代において、守る側もテクノロジーで武装し、判断と対応のスピードを上げることが不可欠だ。組織のサイバーレジリエンスを高めるための現実解として、FutureVulsのような統合管理プラットフォームの重要性は今後ますます高まっていくだろう。
関連リンク
[PR]提供:フューチャー
