ソフテック、SIDfm脆弱性データベースを組込んだオンプレミス型脆弱性管理ツール「SIDfm VM」の販売を開始～セキュリティ管理の6つの課題を解決～

コンピュータ・通信機器

従来、脆弱性管理に必要な情報システムを把握し、年間1万件以上報告されている脆弱性とのマッチングを行い、適切な優先順位付けのもとで、脆弱性を対処することは容易ではありませんでした。その問題を解決するため、ソフテックは、脆弱性情報提供サービスで培ってきた脆弱性情報の評価・収集ノウハウに、脆弱性診断サービスで蓄積した情報システムの構成情報取得ノウハウを活用し、チケット管理システムと連携することで、従来の情報システムの脆弱性管理の問題を解決する「SIDfm VM」を開発しました。

PRESS RELEASE

2019年6月19日

株式会社ソフテック

SIDfm脆弱性データベースを組込んだ

オンプレミス型脆弱性管理ツール「SIDfm VM」の販売を開始

～セキュリティ管理の6つの課題を解決～

概要

　株式会社ソフテック（本社：東京都世田谷区、代表取締役社長：加藤努、以下ソフテック）は、20年間の実績のあるSIDfm脆弱性データベースを組込んだオンプレミス型脆弱性管理ツール「SIDfm VM」を本日より販売します。

　「SIDfm VM」は、SIDfm脆弱性データベースを基盤として、情報システムの脆弱性管理における各工程の作業を自動化・可視化します。これにより、脆弱性管理における「①脆弱性情報の収集」「②脆弱性のマッチング」「③対策状況の可視化」「④リスクのトリアージ」「⑤進捗状況の共有」「⑥パッチ詳細情報の入手」の6つの課題を解決しました。

　従来、これらの課題に対しては、組織内の一部の「人」が経験に基づき実施する属人的作業となりがちでした。この理由は、エンドポイント以外の脆弱性対策を効率的に運用支援するツールがなかったことも一因です。「SIDfm VM」は、作業工程を自動化することにより、「脆弱性の検出」や「脆弱性対策状況の把握」、「対策の優先順位付け」も瞬時に可能となります。その結果、「継続的」な脆弱性状態の監視も可能になりました。さらに「対策の運用支援」機能も提供し、一つのワークスペース内で管理作業が完結できるため、脆弱性管理に係る運用のコストを大幅に削減できます。

背景

　世界的なセキュリティ対策の傾向が、マルウエア対策やメールの保護といった「異常系」への対策から、ガバナンスに基づいた「正常（基本）系」の対策へシフトしつつあります。すなわち、攻撃可能面を最小に保つという方向に変化しております。このプラクティスの一つとして、「継続的」な脆弱性の監視と管理が対策の上位の位置づけとなってきました。今般、平成30年7月25日に内閣サイバーセキュリティセンター(NISC)が発表した「政府機関等の対策基準作成のためのガイドライン」（平成30年度版）[*1]でもその必要性が述べられており、今後、政府機関等のシステムには必須の対策要件となります。

　これまでは、脆弱性管理に必要な情報システムを把握し、年間1万件以上[*2]報告されている脆弱性とのマッチングを行い、適切な優先順位付けのもとで、脆弱性を対処することは容易ではありませんでした。その問題を解決するため、ソフテックは、脆弱性情報提供サービスで培ってきた脆弱性情報の評価・収集ノウハウに、脆弱性診断サービスで蓄積した情報システムの構成情報取得ノウハウを活用し、チケット管理システムと連携することで、従来の情報システムの脆弱性管理の問題を解決する「SIDfm VM」を開発しました。

「SIDfm VM」の特長

　「SIDfm VM」は、情報システムのソフトウェア構成情報と脆弱性データベースのマッチングを行い高速・高精度[*3]で脆弱性を検出し、チケットとして管理するシステムです。高速・高精度の特長を活かして毎日脆弱性マッチングを行うことができ、継続的[*4]なチェックも容易に行えます。

　また、検出した脆弱性はチケットにより管理を行うため、対処状況を追跡することも容易です。脆弱性マッチングには1999年からサービスを提供している、脆弱性情報を一次情報から検証[*5]し蓄積したソフテック独自のSIDfm脆弱性情報データベースを使用します。

　情報システムに対する脆弱性リスクの優先順位付けは、CVSSの不足点[*6]を補ったソフテック独自のSRI指標[*7]にて自動的に行います。これにより、脆弱性の内容を把握し作業の優先順位付けを行える高度な専門性を有した人員がいなくても、容易に脆弱性管理を行うことが可能になりました。

　更に、「SIDfm VM」は、インターネットと接続されていない情報システムの脆弱性管理も可能にしました。オンラインで脆弱性管理ができないような医療機器、工場における制御機器、ビルや建物を制御する機器、自動車機器等に組み込まれたOSやソフトウェアの脆弱性の棚卸しや、トレーサビリティも独自の仕組みで行えます。

　今後もソフテックは、脆弱性対策の分野においてサービスの拡充を図り、安全なITを利用できる環境作りに取り組んで参ります。

販売開始時期

　2019年6月19日

提供価格

　SIDfm VMは、年間サブスクリプション料金となります。50ホストご利用の場合、年額120万円（税抜、別途初回手数料要）となります。価格詳細、サービス内容に関しては、下記問合せ先までお問い合わせください。

販売目標

　今後2年間で20,000ホスト以上の導入を目指します。

注釈

[*1] 「政府機関等の対策基準作成のためのガイドライン」（平成30年度版）(内閣サイバーセキュリティセンター)の「6.2.1 ソフトウェアに関する脆弱性対策」

https://www.nisc.go.jp/active/general/pdf/guide30.pdf

[*2] National Vulnerability Database (National Institute of Standards and Technology)の2018年にリリースされたCVE-ID数18104件

https://nvd.nist.gov/vuln/full-listing

[*3] SIDfm VMは、システム内部で利用されているライブラリなどの情報を得られない外部からのスキャン方式と比べて、サーバのソフトウェア構成情報を利用し、SIDfm脆弱性情報とのマッチングを行うため、高速かつ高精度に脆弱性を検出します。

[*4] 他社が採用している外部から行う脆弱性スキャン方式では、新しい脆弱性とのマッチングが、スキャンタイミングと頻度に依存します。SIDfm VMは、ソフテックの最新SIDfm脆弱性データとの突き合わせを毎日行うため、脆弱性を継続的に捕捉することができます。

[*5] 実環境による動作検証ではなく、OSベンダーやアプリケーションベンダーより発表される信頼性の高い一次情報による裏付けや論理的考察です。

[*6] TOWARDS IMPROVING CVSS (CARNEGIE MELLON UNIVERSITY)において、米国CERT/CCは、CVSSを「技術的な重大度の識別」であり「セキュリティリスクのスコア付け」ではないと指摘しています。

https://resources.sei.cmu.edu/asset_files/WhitePaper/2018_019_001_538372.pdf

[*7] SRIは、Softek Risk Impactの略称です。SRIは、サーバのリスクを分析・評価するために使用される指標で、サーバへの脆弱性の影響を決定するための環境評価と現状評価を行うフレームワークとして機能します。ソフテックが脆弱性情報を長年提供してきて培ったノウハウが込められています。

https://www.softek.co.jp/SID/support/sidfmvm/guide/sri.html

株式会社ソフテックについて

　https://www.softek.co.jp/

　ソフテックは、1991年にスーパーコンピュータ分野やネットワーク分野の最先端の技術の提供会社として創業し、官公庁などへの多くのコンサルティングの実績を重ねて参りました。1999年に日本で初めて商用のセキュリティ脆弱性情報の提供をベースとした「脆弱性管理ソリューションSIDfm」を提供し、現在においては多くのお客様がSIDfmを活用していただいております。組織のITインフラの安全性を継続的に維持するための基本となる脆弱性管理のソリューション提供のトッププレーヤーです。

　また現在、大きなセキュリティ・リスクの一つであるWebアプリケーションの診断技術においても、2002年度に情報処理推進機構(IPA)の電子政府情報セキュリティ技術開発事業の一つに採択されたWebアプリケーションの診断ツールWebProbeを開発し、時代の先駆けとして当該分野の診断技術を提供してまいりました。ソフテックは、Webシステムの問題や脆弱性への対策に関してのすべてを網羅する自社開発技術をもつセキュリティの専門企業です。