ラピド セブン ジャパンは、2015年9月30日から10月2日にかけて東京ビッグサイトで開催している「ITpro EXPO 2015」において、企業システムの脆弱性診断・管理ソフト「Nexpose Enterprise エディション」を公開している。Nexposeは、脆弱性診断と併せて、発見した脆弱性の深刻度を独自のアルゴリズムで解析し、管理者画面に順位付けをして表示する機能を持つ。表示する脆弱性は、深刻度の大きいものから10個、あるいは25個というように利用する企業側で設定でき、脆弱性を解消した場合に、システムのリスクがどれだけ改善されるかを数値で示す機能も備えている。IT管理者は、脆弱性が「92%改善される」というように具体的に理解することが可能となる(写真)。
ブースでは、企業のIT管理者を想定したPCが設置され、そこにNexposeの操作画面を表示。脆弱性のランキングをはじめ、その脆弱性の深刻度がリスクスコアとして表示される様子を見ることができる。同社のセールス アカウント マネージャーの俟野敏史氏は、「企業のIT資産の脆弱性を診断するツールは数多くあるが、当社のNexposeは『見える化』できるところが特徴」と語る。
Nexposeには、脆弱性の診断と見える化の機能だけでなく、それらの脆弱性を改善しない場合の想定されるリスクを示す機能、脆弱性をどう改善するかの手順を示す機能も備えている。これらの機能を利用することで、例えばセキュリティパッチを当てる必要がある場合など、「対策をしなかったらどうなるか」の具体的なリスクを示して、経営層や社内の関係者を説得できるようになる。手順書を活用すれば、自社でセキュリティの診断から脆弱性の発見、対策の立案、対処までを一気通貫で行うこともできる。俟野氏によれば、「米国をはじめグローバルでは、自社でセキュリティを診断し、対策までを『セルフ』で実施するのがトレンド。日本企業もその方向に向かいつつある」という。
ブースでは、同社のペネトレーションテストソリューション「Metasploit Pro エディション」も紹介している。これをNexposeと組み合わせて使用することで、診断された脆弱性の中から、過検知や誤検知の脆弱性を区別することができる。同社によれば、脆弱性診断ツールを利用している企業の多くが「対処すべき脆弱性と過検知・誤検知された脆弱性を仕分けするのに大変な労力をかけている。企業によっては、診断後2~3日かけて仕分けし、それから優先順位を決めて対策を検討している。これでは、次々に高度化する攻撃に対処できない」と指摘する。同社では、Metasploitを使えば、対処すべき脆弱性と過検知・誤検知との仕分けを「数時間で終わらせることができる」という。
Nexpose Enterprise エディションは、クラウド版とオンプレミス版が用意されている。価格は、「個別の見積もりによる」(俟野氏)としている。
