SIDfm head title

脆弱性管理サービス SIDfm RA 導入事例  伊藤忠テクノソリューションズ株式会社

【会社説明】

伊藤忠テクノソリューションズ株式会社は、コンピュータ、ネットワーク、アプリケーションによるコンサルティングからシステムの開発、運用・保守、管理、アウトソーシングなどのトータル・ソリューションの提供を行なうシステムインテグレーター。伊藤忠商事グループの主要子会社。略称CTC。東京証券取引所市場第一部上場。

ミッションである「明日を変えるITの可能性に挑み、夢のある豊かな社会の実現に貢献する」ため、CTCグループは独自の強みを活かし、お客様や社会が抱える課題やニーズをビジネスを通じて解決していきます。

CTC写真
導入前の課題
  • マルチベンダー環境において、さまざまな情報元から脆弱性情報を収集・確認しなければならない。
  • メーカーからの脆弱性通知のレベルは、それぞれの基準で通知されるため、お客様への対応基準の説明が困難だった。
導入後の効果
  • 脆弱性情報の収集工数が大幅に削減できた。
  • 運用上の脆弱性対応基準が明確になり、お客様が安心いただけるサービス品質を保つことができる。

マネージドネットワークサービスを提供している、エントラステッドクラウド技術事業部 マネージドサービス部 ネットワークソリューション課 課長の大竹 岳 様に SIDfm の導入背景と効果についてお話伺いました。

マルチベンダーならではの、脆弱性管理の課題

SIDfmの導入背景をお聞かせください。

CTC写真

マネージドネットワークサービスでは、お客様からお預かりしているネットワーク機器の設定変更や障害時の対応などの運用を行っております。そのため、脆弱性が発見され、アップデートプログラムが公開された際にも、私たちからお客様に対して、その内容のお知らせと対応について提案を行う必要があります。

SIDfmを検討した主な背景としては、大きく2つございます。

1つは、脆弱性情報収集の効率化です。
弊社サービスはマルチベンダーを強みとしているため、運用対象の機器は様々です。漏れなくスピーディーにお客様へ提案を行うために、脆弱性情報は各メーカーからそれぞれ発信される一次情報を頻繁に収集する必要がありました。これは限られた人数で運用する上で非常に工数のかかる業務となっていました。

もう1つは、運用オペレーションの標準化です。
脆弱性への根本対策はバージョンアップが一般的ですが、作業中の通信断発生など、お客様にとって負担を伴う作業でもあるため、全ての脆弱性に対して都度対応することは現実的ではありません。そこで、なにかしらの指標をもって対策実施の判断を行う仕組みが必要でした。

しかし、各メーカーが公開する情報やCVSSスコアでは、お客様の環境にあったご提案の判断は難しく、判断したとしても、お客様が安心して納得していただく一貫したご説明をするためにはどうしたらよいか悩んでおりました。

これからの課題を解決するためにいい方法がないか検討していたところ、脆弱性対策ソリューションのSIDfmを見つけ、まさにこの課題解決に必要な情報と機能を兼ね備えており、導入時の初期設定コスト含め手軽に始めることができるものだったため、導入することになりました。

SRIを活用した、トリアージの効率化

SIDfmを評価いただいたポイントをお聞かせください。

まず多くの製品の脆弱性情報を1ヵ所で確認できることです。CVE、JPCERT、JVNの情報では外部リンクとなっており、内容を別途確認しなければならないメーカーサイトの情報やパッチ情報もすべて1つのコンテンツでまとまっており、かつ日本語で確認できるため、誤認のリスクを低減できることも評価ポイントでした。

次に脆弱性ごとにCVSSスコア以外に SRI(Softek Risk Impact)指標 が用意されていたことです。
CVSSスコアは脆弱性の深刻度を、脆弱性の特性を複数の要素で評価し、それらを決められた計算式で算出された数値のため、同じスコアでもお客様の環境によって、対応するかしないかの提案が変わってしまいます、これに対してSIDfmでは、自分たちが運用で判断しているような基準で既に評価(SRI指標)されており、運用対象の機器を登録する際に、お客様の使用用途の属性(ホストカテゴリ)を選択することで、お客様にとって対応が必要な脆弱性に絞り込んだ運用を設計することができることが非常に大きな評価ポイントでした。

システム運用の必需品SIDfm、圧倒的コストパフォーマンス

実際にSIDfm導入後の効果はいかがでしたか?

CTC写真

期待通り、情報収集の工数は削減できましたし、運用にしっかり組み込むことができました。今となっては、SIDfmなしの運用は考えられません。

さらに、ユーザーとなって感じたところとして、日々追加されている脆弱性情報や対象製品の量ですね。ソフテックさんからは取り扱い製品にないものがあれば、追加検討も可能なので、気軽に言ってくださいとおっしゃっていただいており、毎月のように製品が追加されていくのを見て、これだけの脆弱性情報をこんなに安く利用させてもらっていいのかな?と思うほどです。

最後に、今後のSIDfmに対してコメントいただけますでしょうか。

今ではサービス運用に必須のツールとなっているため、今後も取り扱い製品などの追加や、使用面での要望が出てきましたら、検討してもらえると助かります。
お客様にも指標としてSIDfmを活用していること、SRIの定義についてもお話させていただいておりますし、当初利用を検討した私の部署以外での活用も広がってきておりますので、今後ともよろしくお願いいたします。

ありがとうございました。

ご質問、ご相談などお気軽にお問い合わせください。