Visionalグループのアシュアードは8月24日、同社が提供する脆弱性管理クラウド「yamory(ヤモリー)」がWebアプリケーションとクラウドインフラのセキュリティ診断サービスを開始するとオンライン説明会で発表した。

日本企業の9割がセキュリティ人材の不足を感じている

yamoryは、これまでITシステムのライブラリ・フレームワーク、ミドルウェア・開発言語、OSの脆弱性を対象としてきたが、新サービスの開始でITシステムの全レイヤを対象とした脆弱性対策が可能になる。

現状認識として、アシュアード yamory事業部 事業部長の山路昇氏は「この10年でサイバー攻撃は約110倍に拡大している。ITシステムのWebアプリケーションの層は、さまざまな機能要求によるシステムの肥大化、サーバ・コンテナの層ではシステムを支える膨大なソフトウェアと管理、クラウドインフラの層はオンプレミスからの意向でクラウドインフラサービスの利用増加などを要因にITシステム環境が複雑化している。そのため、各レイヤに対して正しく対処する必要がある」との認識を示した。

  • アシュアード yamory事業部 事業部長の山路昇氏

    アシュアード yamory事業部 事業部長の山路昇氏

国内においてDX(デジタルトランスフォーメーション)が進展するなか、ITシステムの脆弱性を狙ったサイバー攻撃の被害は拡大しており、実際にIPA(情報処理推進機構)の「情報セキュリティ10大脅威 2022」は半数以上が脆弱性に関する脅威が挙げられているほか、米国立標準技術研究所(NIST)が確認した脆弱性は直近5年で3倍超に達することから、自社のITシステムをサイバー攻撃から守るため、脆弱性対策は必要不可欠だという。

しかし、日本企業の9割がセキュリティ人材の不足を感じており、十分な対策ができていない。一方で、人材不足を感じる企業が1割にとどまる米国では、充足している理由として約4割の企業が「セキュリティ業務がシステムなどにより自動化・省力化されているため」と回答し、人的リソースに依存しない仕組みの整備が人材不足解消の一手であることが伺えるとしている。

山路氏は「レイヤごとに異なる専門知識が必要であり、ツールなど対策方法もバラバラで属人的な運用になっており、網羅的に管理・対策することが困難だ。また、これまでyamoryはサーバ・コンテナを対象としたソフトウェア脆弱性自動検知・管理を提供していたが、新サービスはWebアプリケーションとクラウドのセキュリティ診断を加えることで、全レイヤを対象に脆弱性の検知ができるようになる」と説明した。

  • ITシステムの各レイヤが複雑化している

    ITシステムの各レイヤが複雑化している

従来、yamoryではITシステムの脆弱性を自動で検知し、管理・対策ができるクラウドサービスを提供することで、企業の効率的な脆弱性対策を支援しており、複雑化するITシステムに必要な脆弱性対策に対応し、検知した脆弱性リスクをすべて管理することで、網羅的な対策をより少ない工数で実現するため、新サービスを開始する。

一般的にWebアプリケーション、クラウドインフラはプロフェッショナルによる定期監査が必要となる。

そのため、Webアプリケーション診断ではプログラムの設計やセキュアなコーディングをチェックするほか、クラウドインフラのセキュリティ診断は設定不備の有無などをチェックする。こうしたセキュリティ診断をyamoryで対応することで、ITシステムの全レイヤの脆弱性対策が可能になるという。

  • 全レイヤで脆弱性検知が可能になるという

    全レイヤで脆弱性検知が可能になるという

参考価格はWebアプリケーション診断がサーバのAPIやページなどのリクエスト数にもよるが、10リクエストあたり50万円(税別)~、クラウドインフラ診断はクラウドの1アカウントごとに50万円(同)を想定している。

来春にはITシステムの全レイヤの脆弱性対策が可能に

山路氏は「脆弱性の検知だけでなく、対応状況の管理も必要となっている」と述べており、2022年11月にクラウドインフラの設定不備によるセキュリティリスクの自動検知・管理(CSPM)、2023年春には診断結果管理のサービス開始をそれぞれ予定している。

  • 今後のロードマップ

    今後のロードマップ

CSPMは、インフラ環境のパブリッククラウドへの移行が進む一方で、インフラの複雑化や技術の変化への対応が追いつかず、クラウドインフラの設定不備によるインシデント件数が急増しているため、主にクラウドインフラの設定不備の検出、ガイドラインに対する違反有無を継続的にチェックする自動検知サービスを開始。

また、来春には診断結果管理もyamory上で管理可能となるため、ITシステム全レイヤの脆弱性の検知に加え、対策も可能となるためそれぞれの履歴データをyamory上に蓄積することで、ITシステム全体のリスクを可視化し、網羅的な脆弱性対策を少ない工数で対応できるようになるという。