三井物産は,各種OSやアプリケーション・ソフトのセキュリティ・ホール情報を提供する有償サービス「FrontLine」を10月までに開始する。同サービスを担当する,同社情報産業本部ITソリューション事業部GTI Project Center(以下,GTI)が,IT Proの取材に対して4月12日に明らかにした。
特徴は,ユーザーのシステム環境に必要な情報だけを提供することと,セキュリティ・ホールの再現性やパッチ(修正プログラム)の有効性を検証してくれること。料金体系については未定である。
ユーザーは,自システムで使用しているOSやアプリケーションの種類,システム構成などをあらかじめ登録しておく。GTIでは,独自に入手したセキュリティ・ホール情報や,ベンダーやセキュリティ・コミュニティが公開した情報の中から,ユーザーの環境に関係する情報だけを抽出する。
そして,ユーザーの環境で影響を受けるかどうか,パッチなどが公開されている場合にはそれらが有効かどうか(適用しても不具合が発生しないかどうか)を検証した上で,セキュリティ・ホール情報とその「重要度」,および回避策などを提供する。提供方法は,メールやFAX,Webなどを予定している。なお,「検証に時間がかかる場合には,検証結果よりも先に情報だけを提供する場合もありうる」(GTI コンサルタント 烏山雄大氏)
ただし,見つかったセキュリティ・ホールすべてについて検証するわけではない。「影響を受けるユーザー数が多いと考えられる,深刻なセキュリティ・ホールについて,詳細に検証する」(烏山氏)。重要度が低いセキュリティ・ホールについては,情報は提供されるものの,検証結果が提供されない場合がある。
あらかじめ登録する情報についてはユーザーに任されており,登録情報によって提供される情報は変わってくるという。例えば,パッチの適用状況やソフトウエアの設定について細かく登録しておけば,提供される情報はより絞られる。新しく見つかったセキュリティ・ホールでも,過去のパッチや設定で回避できる場合があるからだ。
それに対して,単にアプリケーションの種類だけを登録している場合には,提供される情報の量は多くなる。「例えば,『過去のあるパッチを適用している場合には,このようにしてください。適用していない場合には,このようにしてください』といったように,可能性があるケースすべてについての情報を提供する」(GTI シニアマネージャ 清水正具氏)ためだ。「パッチの適用状況などきちんと管理して登録しておけば,本当に必要な情報だけを受け取ることができる」(GTI マーケティングマネージャ 坂恵理子氏)
