SBテクノロジー、脆弱性管理サービス「MSS for 脆弱性管理（VRM）」をサブスクリプションで提供開始

本サービスは、管理対象のIT資産と脆弱性情報を収集・可視化、優先順位付けを自動で行い、検出された脆弱性の一元管理を実現するサブスクリプションサービスです。検出された脆弱性は、攻撃コードの公開有無、インターネット露出及び資産の重要度などお客様環境に応じたリスクレベルの評価が行われ、推奨される対応とあわせてお客様へ通知されますので、お客様は通知受信後、リスクスコアを参考に脆弱性の対応可否の判断や対応計画の策定が行えます。これにより、危険度の高い脆弱性を優先的に考慮しながら、お客様のご状況に応じた効率的な脆弱性管理が可能となります。

本サービスの対応範囲と脆弱性管理のライフサイクル

■背景

包括的かつ継続的な資産管理は、組織が適切なセキュリティ対策を行う上での基盤となります。米国土安全保障省（DHS）のサイバーセキュリティ・社会基盤安全保障庁（CISA : Cybersecurity and Infrastructure Security Agency）は、2022年10月に連邦政府機関に対して自組織のネットワーク上の資産の可視化と脆弱性検出の改善を義務付ける「BOD 23-01」(※1)を発行しました。この指令は連邦政府機関が対象ですが、CISAはその他の組織においても有効な取り組みとしています。

国内においては、意図せず外部公開されているIT資産や、適切な脆弱性対策が行われずシステムの脆弱性を悪用された結果、サイバー攻撃の被害に遭うケースが頻発しています。適切なセキュリティ対策をしていくためには、包括的かつ継続的な資産管理および脆弱性管理が求められます。しかし、管理対象となるIT資産が増え管理が煩雑になることから、正確な資産の把握が難しいという課題があります。さらに、脆弱性管理は担当者が日常的にチェックし対応を行う必要があり、専門的な知識や経験に加え、自組織にあった対策が求められます。

SBTは、この課題を解決するため、脆弱性管理サービス「MSS for 脆弱性管理（VRM）」を提供します。これまでSBTが培ってきたシステムやセキュリティ運用の知見を活かし、効率的な脆弱性管理を支援します。

■サービス概要

「MSS for 脆弱性管理（VRM）」のサービス内容は以下になります。

・サービスの特長

1)  脆弱性管理業務を効率的に一元化

本サービスでは、資産の把握から脆弱性情報の収集・評価、検出された脆弱性に対する対応判断・計画策定・対応実施までの脆弱性管理ライフサイクルに沿ったプロセスを一元的に管理します。日次で自動的に管理対象IT資産と脆弱性情報が収集され、常に最新の状態に更新されるため、こうした情報収集に掛かる工数を大幅に削減可能です。

ポータルサイトの表示の一例。検出された脆弱性に対して、フィルタ機能等を活用し優先度の高い脆弱性を抽出することが可能。また、対応目標日や対応予定日欄があり、対応が遅延しているものについてリマインドの設定も可能。

2)  独自設計した脆弱性評価

検出された脆弱性の評価は、攻撃コードの公開有無、外部機関からの注意喚起有無及びお客様の資産重要度をもとに行います。その結果、「即時対応」、「計画対応」、「適時対応」としてリスクレベル別に対応依頼を通知します。資産重要度はお客様ご自身でビジネスへの影響度を踏まえて資産ごとに設定して頂くため、検出された脆弱性がお客様のビジネスに及ぼす影響に応じたリスクとして評価が可能な設計となっています。

3)  サブスクリプションサービスによる初期コストの大幅削減

本サービスは、サブスクリプションサービスです。サービス費用には、ServiceNowおよびTenable Vulnerability Managementのライセンス、脆弱性情報のアップデート、システムメンテナンス、定期バージョンアップが含まれています。初期費用不要、最短15日で脆弱性管理に必要なプラットフォームを定額サービスとしてご利用いただくことが可能です。

・提供開始日

2023年7月3日(月)

・提供価格

月額：250万円～

※初期費用不要

「MSS for 脆弱性管理（VRM）」の詳細は、こちらをご覧ください。

https://www.softbanktech.co.jp/service/list/managed-security-service/mss-for-vrm/

■今後の展開

SBTは、今後、本サービスのシステム構成の拡張や、これまで展開してきた既存サービスとの連携強化を進め、お客様のITセキュリティ運用に関わる領域を広くご支援できるよう、サービスの機能拡充に努めてまいります。

■ServiceNow Japan合同会社　執行役員社長　鈴木正敏 氏からのコメント

SBテクノロジー様のサイバーセキュリティにおける脆弱性対策を実現する画期的なマネージドサービスのご提供に携わることができて光栄です。従来の脆弱性対策は各社様が独自で実施するしか術がなく、マネージドサービスとしてご提供されることにより、国内のサイバーセキュリティレベルの向上に大いに寄与されると確信しております。ServiceNowは、この画期的なサービスのご提供を継続的にご支援し、SBテクノロジー様と密に連携し更なるサービス向上を目指してまいります。

※1 CISAが連邦政府機関向けに発行した拘束力のある運用指令 (BOD：Binding Operational Directive)で、ネットワーク上の資産検出を7日ごと、脆弱性の検出を14日ごとに開始することを求めるものです。https://www.cisa.gov/news-events/directives/binding-operational-directive-23-01

※2　構成アイテムとは、機器種別ごと固有の情報や依存関係、状態などの情報が記録された構成情報です。

※3　脆弱性アイテムとは、リスクスコアと対応目標及び対応状況を示すスキャンされた脆弱性情報です。

※ 本リリースに記載されている会社名、製品名、サービス名は、各社の登録商標または商標です。