[画像のクリックで拡大表示]
OSやミドルウエアなどの脆弱性情報を収集・分析している、米ベリサインのバック・ワキア上級マネージャは、「企業が利用する製品や技術の種類は増える傾向にある。それらの脆弱性やパッチの情報をすべて把握し、対策を実施するのは、システム担当者にとっては大きな負担だ。セキュリティ関連情報の見極めが必要になってきている」と、現在のセキュリティ対策の難しさを指摘する(写真)。
米ベリサインは、2005年7月に買収した米アイディフェンス社のセキュリティ情報配信サービス「CyberNotice」を提供している。日本ベリサインも4月に日本語版の提供を始めた。専門家がいち早く脆弱性情報を収集・分析し、情報の重み付けをし、対策情報を付加してユーザーに配信する。ワキア上級マネージャは、「日本でもこのような脆弱性情報サービスのニーズは高まるはず」とみる。
他社のサービスとの違いは、「情報収集・分析に多くの人員を割いている点」(ワキア上級マネージャ)。情報収集・分析チームは50人の担当者で構成され、四つのチームに分かれている。(1)悪質なプログラムをネットで収集する「マリシャスコード/脅威・諜報チーム」、(2)約800以上ものベンダー製品の脆弱性情報を集める「脆弱性情報収集チーム」、(3)脆弱性や不正プログラムを分析する「アイディフェンス・ラボ」、(4)ハッカーがよくアクセスするWebサイトや掲示板を監視する「ジオポリティカル・チーム」、である。
さらに、「コントラクター」と呼ばれる、外部の専門家約250人と契約を交わし、脆弱性情報を収集している。「現在では、14カ国語に対応。フィッシング詐欺を仕掛ける犯罪者が多いとみられるロシアや、中国も監視している」(ワキア上級マネージャ)。
