米Skybox SecurityのCSO(Chief Strategy Officer) Gidi Cohen氏
米Skybox SecurityのCSO(Chief Strategy Officer) Gidi Cohen氏
[画像のクリックで拡大表示]

 「社内LAN上のマシンに脆弱性スキャナをかけると,多数の脆弱性(セキュリティ・ホール)がリストアップされる。しかしながら,その中でビジネスに深刻な影響を与えるクリティカルな脆弱性は1~2%程度である。それらを見極めて,適切に対処することが重要だ」---。米Skybox Securityの共同設立者であり,CSO(Chief Strategy Officer)であるGidi Cohen氏は9月15日,プレス・カンファレンスにおいて強調した。

 Cohen氏は,社内LANに存在する脆弱性の絞込み(リスクの評価)とその対策の実施を,日常的に取り組むことが重要だという。「例えば,リスク評価から対策の実施までに3カ月もかかるようでは意味がない。対策を実施するまでの間に新たな脅威が発生するからだ」(同氏)

 ただし,「すぐに対処すべきクリティカルな脆弱性を絞り込むのは大変な作業である。あるソフトウエアに見つかった同じ脆弱性でも,企業によってその深刻度は異なる。ネットワーク構成(トポロジ)やネットワーク上のマシン/機器の構成によって変わってくるからだ。絞り込みにはスキルが必要であることはもちろん,人手でやるとなると時間がかかる」(Cohen氏)。このため同氏は,継続的な対策の実施にはツールの利用が有用だと訴える。

 同社では,そのためのツールとして「Skybox View」を開発販売している。国内ではトランスデジタルが8月から販売している。Skybox Viewは,ネットワーク上のマシン/機器の情報や,ISSやNessusといった脆弱性スキャナの検査結果などを収集し,その企業のネットワークをモデル化する。そしてそのモデルに対して,多数の攻撃シナリオをシミュレーションし,どういった攻撃を受ける可能性があるのか,その攻撃を防ぐにはどうすればよいのか(どの脆弱性を解消すればよいのか)を算出するという。

 同ツールの参考ライセンス料金は,100ノード(サーバー)のネットワークで1845万円(税別)から。そのほか,サービス・プロバイダ向けのライセンスなども用意している。

◎参考資料
Skybox View(米Skybox Security)
ITセキュリティリスクマネージメントシステム「Skybox View」を8月8日より日本市場で販売開始(トランスデジタル)[PDFファイル]