問題は「自社にとって本当に深刻な脆弱性」を把握できていないこと――米Skybox

米Skybox Securityのギディ・コーエン氏によると、企業の多くは、本当に深刻な脆弱性は何かを把握できていないという。

[高橋睦美，ITmedia]

　「現在のITシステムはあまりに複雑すぎて、『本当に深刻な脆弱性は何か』を把握できていない」――セキュリティリスク分析ソフトを開発、提供している米Skybox Securityの共同設立者兼CSO（Chief Strategy Officer）のギディ・コーエン氏はこのように述べ、セキュリティ対策を進める上でリスクと費用対効果を「可視化」することの重要性を指摘した。

　企業がセキュリティ対策を進める際にしばしば頭を悩ませるのが「何から手をつけたらいいのかが分からない」という問題だ。

　ITシステムにはさまざまな脆弱性が存在するものだが、どれが本当に深刻で、どれは多少目をつぶっても大丈夫かの判断をつけるには、自社システムに対する理解とセキュリティの専門性が必要とされる。同じ脆弱性でもシステム構成によって影響は変わってくるからだ。そのうえ、予算上の制約も考慮しながら優先順位をつけていかなければならない。

　コーエン氏はまた、問題の修正、つまりシステムに対する「変更」を管理できていない点も問題だと述べた。脆弱性は修正すべきものだが、パッチの適用によってシステムの稼動に影響が生じる場合もある。脆弱性を放置した場合のリスクと修正した場合のシステムに対する影響、それぞれの作業に要する費用などを客観的に比較した上で対処を進めるべきだとした。

　Skyboxが提供するリスク管理ツール「Skybox View」は、こうした問題を解決するための製品だという。

　Skybox Viewではまず、ネットワーク構成情報や脆弱性情報を収集して自社システムの「モデル」を作成。これに対してさまざまな攻撃シミュレーションを適用することにより、どんな脆弱性やリスクが存在しており、それぞれの危険性はどの程度かを定量化して示す。さらに、適切な対処方法を示すとともに、その修正を施した際にどういった影響が生じるかをシミュレートすることも可能だ。

　特徴は、「これまで人手と日数がかかっていたリスク分析の部分を自動化し、あっという間に診断を行えること」（Skybox Viewの販売代理店であるトランスデジタルの執行役員セキュリティ事業部長、ラスカウスキー・テルミ氏）。

　テルミ氏は、レポートをまとめるまでに30日前後を要していた従来のセキュリティ診断では、システムや環境の変化に追いつくことができず結果が陳腐化していたし、こまめな検査もできなかったと指摘。これに対しSkybox Viewを利用すれば「毎日でもリスク診断を実施し、改善が図られているかを比較していくことが可能になる」と述べた。

　Skyboxでは引き続き製品の強化を進め、法規制に対するコンプライアンス支援をはじめ、ITガバナンスに関するさまざまな要件を取り込んでいく方針という。

　Skybox Viewには用途に応じていくつかの版があり、Standard版のライセンス料金は100サーバノードのネットワークで1845万円から。セキュリティコンサルタントや監査サービス向けのライセンスも用意されている。