脆弱性管理からリスク管理を目指す米eEye

米eEye Digital Securityのクリス・クリスティアン氏が来日。脆弱性管理からリスク管理へと幅を広げていく方針を示した。

[高橋睦美，ITmedia]

　「われわれは脆弱性管理ツールだけのベンダーではなく、企業全体のリスク管理を支援するベンダーだ」――先日来日した米eEye Digital Securityのアジア太平洋地域担当マネージング・ディレクター、クリス・クリスティアン氏はこのように語り、脆弱性管理を通じて企業のコンプライアンスを支援していくと述べた。

　米eEye Digital Securityでは、脆弱性スキャナの「Retina Network Security Scanner」（Retina）と統合管理ツールの「REM Security Management Console」（REM）を開発、提供してきた。国内では住商情報システムが販売代理店となっており、日本語版を提供している。

　RetinaおよびREMの特徴は、カバーする脆弱性の範囲の広さとスキャンの高速性、そして拡張性だとクリスティアン氏は述べた。最も大規模な導入事例が米国防総省で、400〜500万台のデバイスを、ネットワーク接続環境に応じて格付けした上で管理しているという。

　「国防総省の場合、外部からの脅威については非常にセキュアだ。しかし問題は内部のセキュリティで、さまざまな納入業者やシステムインテグレータが求めるセキュリティレベルを満たしているかを把握したいというニーズがあった。それゆえに脆弱性管理が必要とされた」（クリスティアン氏）

　なお、このツールを展開するにあたって、技術的な面での問題はほとんどなかったという。むしろ課題はプロジェクトに関する部分にあり、ユーザーやサポート要員／技術者に対するトレーニングを通じてこの面の解決を図ったそうだ。

　eEyeでは今後、企業のコンプライアンス対応をより簡単に行えるよう支援していく方針だという。たとえば、SOX法やHIIPAをはじめとするさまざまな法規制への対応を実施するための設定テンプレートを開発、提供していく予定だ。

　「REMをポリシー管理やレポーティングでより活用できるようにしていく。米国防総省のように、脆弱性スキャンの結果をポリシーと照らし合わせ、どの部門がポリシーを遵守できており、どこは違反しているかをチェックできるようにする」（クリスティアン氏）

　同社は米国で、クライアントPC向けの不正侵入防御システム（IPS）製品、「Blink」をリリース済みだ。脆弱性スキャナとBlinkとで同じテンプレートを活用できる仕組みを整え、脆弱性検査と防御とを連動させていく計画という。同時に、RetinaやBlinkから脆弱性や攻撃に関するデータを受け取り、REMを通じて一元管理することによって、部署単位、さらには企業全体のリスク管理を実現していくと同氏は述べた。

　また、最近では脆弱性の悪用の度合いが「凶悪化」してきたと同社のシニアソフトウェアエンジニアの鵜飼裕司氏は指摘した。意図を持ったピンポイント攻撃が増加しているうえ、ゼロデイ攻撃も増えており、リスクは高まっているという。ただ幸いなことに、攻撃全体におけるゼロデイの数はまだ少ない。したがって、脆弱性管理を通じて既知の脆弱性をつぶしておくとともに、ゼロデイ攻撃を防ぐ手段を用意する、それも自動化された形で整えておくことが重要だとした。

　なおBlinkの次のバージョンでは、IPSに加えウイルス対策機能が統合される計画だ。日本語版は2007年度中にリリースされる予定という。