修正パッチが未提供でも脆弱性を塞ぐCTERソリューションVicarius VRX

  セキュリティソリューションの提供を主業務とする株式会社アズジェント（所在地：東京都中央区、代表取締役社長：杉本隆洋、東証スタンダード：4288、以下、アズジェント）は、Vicarius Ltd.（ヴィカリウス 本社:米国 開発：イスラエル、 以下、Vicarius）と販売契約を締結し、システムセキュリティの根本要因である脆弱性を塞ぐ同社のCTER(※１)ソリューション「Vicarius VRX」（ヴィカリウス ブイアールエックス）の販売を開始します。

  セキュリティインシデントは年々増加しています。セキュリティインシデントの要因として外的要因（不正アクセス等）、内部要因（ヒューマンエラー、内部不正等）、環境要因（自然災害等）があげられ、その多くを占めるのが外的要因です。不正アクセスはシステムの脆弱性を利用したものが多いため、脆弱性をなくすことが求められます。脆弱性を即座に塞げれば、外的要因に起因するセキュリティ対策は不要といっても過言ではありません。しかしながら、日々100件以上発見されている脆弱性(※2)をすべて修正することは現実的ではないため、システムに関連した相関分析から脆弱性のリスクに応じた優先順位付けを行った上でパッチを適用するといった脆弱性管理が求められます。また、脆弱性を塞ぐパッチは、開発元から即座に提供されないのが実情です。

    Vicarius VRXは、システム内の脆弱性をニアリアルタイムに検出し、CVSSスコア(※3)だけではなく、実際のシステムにおける脆弱性の深刻度、Exploit Database（脅威データベース）など複数の情報を用いた相関分析を行った上で優先順位付けを判断し、脆弱性の修正対応を行うCTERソリューションです。Vicarius VRXの特筆すべき点は脆弱性の修正対応にあります。多くの脆弱性管理製品が開発元提供のパッチ適用のみに留まるのに対し、Vicarius VRXはニアリアルタイムに脆弱性を検出、相関分析を行い、システムにとってクリティカルな脆弱性にフォーカスして①パッチ適用 ②修正スクリプト提供 ③バーチャルパッチといった3段階の是正措置をユーザー許可のもと自動でとることができます。

   開発元から修正パッチが提供されていない場合、Vicarius VRXは修正スクリプトを提供し、ユーザー許可のもと自動でスクリプトをあてることができます。実例を挙げると2024年7月に発生したCrowdStrikeの障害において、修正スクリプトを提供することで、システムの当該脆弱性を迅速に対応し、保護しました。さらに、何らかの事情によりパッチやスクリプトをすぐに適用できない環境（システムを中断できない等）においては、暫定措置としてバーチャルパッチを実施します。デバイスにインストールされたVicarius VRXのエージェントが指定されたアプリのメモリ領域を監視しアクセス制御を行います。これによりメモリスクレイピング攻撃などからの防御が可能となり、システムへの被害を最小限に抑えることができます。

販売開始は2025年6月より、価格はオープンプライス(※4)です。アズジェントは３年間で1億円の販売を目指します。

※1 CTER（Continuous Threat Exposure Remediation：継続的脅威エクスポージャー対策）

※2 https://securityvulnerability.io/stats/2024

※3 システムやソフトウェアの脆弱性の深刻度を評価するための国際的な評価システムCommon Vulnerability Scoring System（共通脆弱性評価システム）により算出された脆弱性の深刻度。

※4 参考価格：250アセット 225万円（税抜）～

【お問い合わせ先】

株式会社アズジェント

〒104-0044 東京都中央区明石町6-4

TEL：03-6853-7402  E-mail：info@asgent.co.jp  URL：https://www.asgent.co.jp/