News Room

PRESS RELEASE

2019 年 6 月 19 日

株式会社 ソフテック

SIDfm™ 脆弱性データベースを組込んだ
オンプレミス型 脆弱性管理ツール「SIDfm™ VM」の販売を開始

~ 脆弱性管理の6つの課題を解決 ~

概要

 株式会社ソフテック(本社:東京都世田谷区、代表取締役社長:加藤 努、以下 ソフテック)は、20 年間の実績のある SIDfm™脆弱性データベースを組込んだ、オンプレミス型脆弱性管理ツール「SIDfm™ VM」を本日より販売します。

 「SIDfm™ VM」は、SIDfm™ 脆弱性データベースを基盤として、情報システムの脆弱性管理における各工程の作業を自動化・可視化します。これにより、脆弱性管理における「①脆弱性情報の収集」「②脆弱性のマッチング」「③対策状況の可視化」「④リスクのトリアージ」「⑤進捗状況の共有」「⑥パッチ詳細情報の入手」の6つの課題を解決しました。

 従来、これらの課題に対しては、組織内の一部の「人」が経験に基づき実施する属人的作業となりがちでした。この理由は、エンドポイント以外の脆弱性対策を効率的に運用支援するツールがなかったことも一因です。「SIDfm™ VM」は、作業工程を自動化することにより、「脆弱性の検出」や「脆弱性対策状況の把握」、「対策の優先順位付け」も瞬時に可能となります。その結果、継続的な脆弱性管理も可能になりました。さらに「対策の運用支援」機能も提供し、一つのワークスペース内で管理作業が完結できるため、脆弱性管理に係る運用のコストを大幅に削減できます。

背景

 世界的なセキュリティ対策の傾向が、マルウエア対策やメールの保護といった「異常系」への対策から、ガバナンスに基づいた「正常(基本)系」の対策へシフトしつつあります。すなわち、攻撃可能面を最小に保つという方向に変化しております。このプラクティスの一つとして、「継続的」な脆弱性の監視と管理が対策の上位の位置づけとなってきました。今般、平成30年7月25日に内閣サイバーセキュリティセンター(NISC)が発表した「政府機関等の対策基準作成のためのガイドライン」(平成30年度版)[*1]でもその必要性が述べられており、今後、政府機関等のシステムには必須の対策要件となります

 これまでは、脆弱性管理に必要な情報システムを把握し、年間1万件以上[*2]報告されている脆弱性とのマッチングを行い、適切な優先順位付けのもとで、脆弱性を対処することは容易ではありませんでした。その問題を解決するため、ソフテックは、脆弱性情報提供サービスで培ってきた脆弱性情報の評価・収集ノウハウに、脆弱性診断サービスで蓄積した情報システムの構成情報取得ノウハウを活用し、チケット管理システムと連携することで、従来の情報システムの脆弱性管理の問題を解決する「SIDfm™ VM」を開発しました。

「SIDfm™ VM」の特長

 「SIDfm™ VM」の最大の特長は、情報システムのソフトウェア構成情報と脆弱性データベースとのマッチングを行う方式を採用したことです。従来の定期的に脆弱性スキャナーで検出する方式に較べ、高速・高精度[*3]で脆弱性を検出できます。高速・高精度の特長を活かして毎日脆弱性マッチングを行うことができ、継続的[*4]脆弱性管理を容易に行えます。

 また、検出した脆弱性はチケットにより管理を行うため、対処状況を追跡することも容易です。脆弱性マッチングには1999年からサービスを提供している、脆弱性情報を一次情報から検証[*5]し蓄積したソフテック独自のSIDfm™ 脆弱性情報データベースを使用します。

 情報システムに対する脆弱性リスクの優先順位付けは、CVSSの不足点[*6]を補ったソフテック独自のSRI指標[*7]にて自動的に行います。これにより、脆弱性の内容を把握し作業の優先順位付けを行える高度な専門性を有した人員がいなくても、容易に脆弱性管理を行うことが可能になりました。

 更に、「SIDfm™ VM」は、インターネットと接続されていない情報システムの脆弱性管理も可能にしました。オンラインで脆弱性管理ができないような医療機器、工場における制御機器、ビルや建物を制御する機器、自動車機器等に組み込まれたOSやソフトウェアの脆弱性の棚卸しや、トレーサビリティも独自の仕組みで行えます。

 今後もソフテックは、脆弱性対策の分野においてサービスの拡充を図り、安全なITを利用できる環境作りに取り組んで参ります。

販売開始時期

 2019年6月19日

提供価格

 SIDfm™ VM は、年間サブスクリプション料金となります。50ホストご利用の場合、年額120万円(税抜、別途初回手数料要)となります。価格詳細、サービス内容に関しては、下記問合せ先までお問い合わせください。

販売目標

 今後2年間で20,000ホスト以上の導入を目指します。

注釈

*1
「政府機関等の対策基準作成のためのガイドライン」(平成30年度版)(内閣サイバーセキュリティセンター)の「6.2.1 ソフトウェアに関する脆弱性対策」https://www.nisc.go.jp/active/general/pdf/guide30.pdf
*2
National Vulnerability Database (National Institute of Standards and Technology)の2018年にリリースされたCVE-ID数18104件 https://nvd.nist.gov/vuln/full-listing
*3
SIDfm™ VM は、システム内部で利用されているライブラリなどの情報を得られない外部からのスキャン方式と比べて、サーバのソフトウェア構成情報を利用し、SIDfm™ 脆弱性情報とのマッチングを行うため、高速かつ高精度に脆弱性を検出します。
*4
他社が採用している外部から行う脆弱性スキャン方式では、新しい脆弱性とのマッチングが、スキャンタイミングと頻度に依存します。SIDfm™ VM は、ソフテックの最新 SIDfm™ 脆弱性データとの突き合わせを毎日行うため、脆弱性を継続的に捕捉することができます。
*5
実環境による動作検証ではなく、OSベンダーやアプリケーションベンダーより発表される信頼性の高い一次情報による裏付けや論理的考察です。
*6
TOWARDS IMPROVING CVSS (CARNEGIE MELLON UNIVERSITY) において、米国 CERT/CC は、CVSS を「技術的な重大度の識別」であり「セキュリティリスクのスコア付け」ではないと指摘しています。https://resources.sei.cmu.edu/asset_files/WhitePaper/2018_019_001_538372.pdf
*7
SRI は、Softek Risk Impact の略称です。SRI は、サーバのリスクを分析・評価するために使用される指標で、サーバへの脆弱性の影響を決定するための環境評価と現状評価を行うフレームワークとして機能します。ソフテックが脆弱性情報を長年提供してきて培ったノウハウが込められています。https://www.softek.co.jp/SID/support/sidfmvm/guide/sri.html

関連リンク

株式会社ソフテックについて

  •  ソフテックは、1991年にスーパーコンピュータ分野やネットワーク分野の最先端の技術の提供会社として創業し、官公庁などへの多くのコンサルティングの実績を重ねて参りました。1999 年に日本で初めて商用のセキュリティ脆弱性情報の提供をベースとした「脆弱性管理ソリューションSIDfm™」を提供し、現在においては多くのお客様が SIDfm™ を活用していただいております。組織の IT インフラの安全性を継続的に維持するための基本となる脆弱性管理のソリューション提供のトッププレーヤーです。
  •  また現在、大きなセキュリティ・リスクの一つであるWebアプリケーションの診断技術においても、2002年度に情報処理推進機構(IPA)の電子政府情報セキュリティ技術開発事業の一つに採択された Web アプリケーションの診断ツール WebProbe を開発し、時代の先駆けとして当該分野の診断技術を提供してまいりました。ソフテックは、Web システムの問題や脆弱性への対策に関してのすべてを網羅する自社開発技術をもつセキュリティの専門企業です。

本件に関するお問い合わせ先

株式会社ソフテック 営業部

担当: 竹矢

TEL: 03-3412-6008

E-Mail: sales@softek.co.jp