イベント・ニュース

「Corporate Software Inspector」と連携!世界最大級の脆弱性データベースで脆弱性対策と効率化

グローバルに展開するソフトウェアメーカーであるフレクセラ・ソフトウェア社はインストーラーの作成、アプリケーションのパッケージ化技術を提供し、全世界に顧客を8万社抱える企業だ。
近年のサイバーセキュリティの傾向から企業の内部、いわゆるソフトウェアの脆弱性を狙った外部攻撃の対処として脆弱性管理ソリューションを2016年7月から日本向けに提供を始める。

そこでIT資産管理ツールとして多くの実績を持つLanScope Catと脆弱性管理ソリューションを組み合わせることにより企業の煩雑なパッチ管理から適用までのプロセスを効率化するメリットをうかがった。

001

サイバー攻撃被害の対応コストは3億!日々の脆弱性対策が重要

フレクセラ・ソフトウェア合同会社(以降フレクセラ社)は2015年9月デンマークのセキュニア社を買収し、ソフトウェアのライセンス管理・セキュリティ対策の分野に進出した。

フレクセラ社の日本セールスマネジャーを務めるスクワィヤーズ・コートニー氏は、「サイバーセキュリティに注力する企業が増えています。外部攻撃を受けると無形の被害の他に、発生する対応コストは3億円(※1)と言われています。しかし、多くの企業で採用されているISO27001(情報セキュリティ)は、今ほどの外部脅威があることを想定されていません。欧米ではNIST(アメリカ国立標準技術研究所)のサイバーセキュリティフレームワークがグローバルスタンダードになっており2020年までに半数の企業で採用されると言われています(※2)。

国内では、2015年に経済産業省からサイバーセキュリティ経営ガイドラインが発行され、経営者のリーダーシップの下で、サイバーセキュリティ対策の推進が求められています。
さらに、米国CISが公開したCISCritical SecurityControlsでは、外部攻撃対策に有効と考えられている20の技術的なセキュリティコントロールのうち、4位に継続的な脆弱性対策が挙げられています。」と語る。

なぜ、脆弱性対策がこれほど重要視されるのか。それは、フレクセラ社の発表する脆弱性レポートからも見えてくる。2015年に発見された脆弱性は16,081件、2,484のアプリケーションに及ぶ。5年間でみても35%の増加傾向だ。

コートニー氏は、「エクスプロイトされている脆弱性の99%は脆弱性として公開から1年以上経過していますが、16,081件の脆弱性のうち81%は発表当日にパッチが公開されています。しかし、どのパッチを自社に適用する必要があるのか判断が難しく、検証に時間がかかるため対応しきれていない現状がありました。そこで脆弱性データベースの提供から、パッチの生成、適用までをソリューションとして提供したのです。」と言う。

 

強みは世界最大級の脆弱性DB。フレクセラ社の脆弱性リスク対策

フレクセラ社が提供するCSI(Corporate SoftwareInspector)は2003年以降の脆弱性データ、5万件以上のアプリケーションの情報、NISTの脆弱性情報(NVD)の元となるMITREのCVEに準拠した世界最大級の脆弱性データベースを持ち、未対応アプリケーションについては、72時間以内に対応する。
この世界最大級の脆弱性データベースを用いて収集した資産情報から、自社に適用する必要があるパッチの検出、生成、適用までを簡単に行えるのだ。
001

コートニー氏は「脆弱性管理のプロセスが存在しないのであれば、それをツールに任せることが一つの方法です。外部攻撃を防ぐためにIPS/IDS、サンドボックス、次世代ファイアウォールと多重防護を施してきたが100%防ぐことができないのであれば内部からのリスク低減が必要です。脆弱性リスク対策のポイントは4つです。
1)ハードウェア資産管理
2)ソフトウェア資産管理
3)デバイスと環境にあった配布アプリのセキュアな設定
4)継続的な脆弱性対策

CSIではこのプロセスを自動化でき、どの端末にどの脆弱性があるか判断できるので、優先順位を付けられます。さらに、使用許諾の非表示や不必要な付属アプリケーションのインストール除外など配布物を簡単にカスタマイズできます。」と言う。

従来、CSIで生成したパッチをWSUSで配布することができたが、Windows以外のパッチ配布にはカスタマイズが必要だった。日本市場に進出するにあたり、IT資産管理ツールとして実績のあるLanScope Catと連携することによりカスタマイズの手間無くパッチを配布する事ができる。今後はLanScopeCatで収集した資産情報と連携しての管理強化を予定している。

002

セキュリティは経営層が経営判断する時代に突入

コートニー氏は「NISTのサイバーセキュリティフレームワークも経済産業省のサイバーセキュリティ経営ガイドラインも経営層が経営判断できるようライフサイクルを定義しておくことが重要です。担当者にとって業務が効率化でき、経営層も会社にとってのリスクを判断できる環境をCSIとLanScope Catで提供できればと思います。」と語る。

※1:PWC:Turnaround and transformation in cybersecurity http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey.html
※2:Gartner: Best Practices in Implementing the NIST Cybersecurity Framework January, 21, 2016

フレクセラ・ソフトウェア合同会社
2億を超える世界中のPCにソフトウェアのダウンロードおよびアップデートを提供インストーラーの作成、アプリケーションのパッケージ化技術を提供している。フレクセラ社サイバーセキュリティ対策として、脆弱性管理ソリューションを日本向けに開始した。2016年の国内販売開始に際し、お得に導入できるキャンペーンをご用意しています。詳しくは下記までお問い合わせください。

<お問い合わせ先>
フレクセラ・ソフトウェア合同会社
TEL:03-5460-1372
企業URL:http://www.flexerasoftware.jp/

 

sakata-150x150

この記事を書いた人
坂田 愛
マーケティング部所属。LanScopeシリーズを多くのお客様にご利用いただくための販売パートナー、協業メーカー支援に従事。

関連する記事