イー・ガーディアンのグループ会社であるEGセキュアソリューションズは2020年1月27日、企業が使用するサービスの脆弱性情報を収集し、企業への影響や危険度を踏まえたレポートを配信する「脆弱性情報配信サービス」の提供を開始した。企業への影響や危険度をレポートすることで、迅速なセキュリティ対策の実行を支援する。価格(税別)は、初期費用が50万円からで、月額が20万円から(いずれも対象とする製品数/ソフトウェア数などにより変わる)。相談に関しては、1回の配信に対する相談は1回まで無料で、それを超過する場合は別途見積りになる。
EGセキュアソリューションズは、Webアプリケーション脆弱性診断をはじめ、セキュリティコンサルティング、エンジニア向けのセキュリティ研修など、インターネットセキュリティにおける経営課題の解決を支援するサービスを提供している。
脆弱性情報配信サービスは、顧客企業から預かったサービスや製品の情報を基に、脆弱性情報の収集を行い、得た脆弱性情報が当該サービスや製品にもたらす影響や、対応の要否、緊急性も踏まえた分析・評価レポートを定期的に提供するサービスである。
同サービスにより、組織の脆弱性情報の収集から対策要否判断までにかかる時間を短縮でき、早急に適切な対策を講じることで、適切な脆弱性管理を実施できるようになる。
脆弱性情報の収集に関しては、対象はWebアプリケーションやIoT製品などで利用するオープンソースなどである。収集する情報は、OS、フレームワーク、CMSなどの脆弱性、パッチ情報など。分析・評価に関しては、配信内容は概要・影響・危険度・対応要否・対策方法などになる。
週次の報告はベストエフォートが前提。緊急度の高い脆弱性の場合は速報する。配信方法はメールに加え、相談により対応する。
背景として同社は、近年、サイバー攻撃による情報漏洩などのセキュリティインシデントが企業活動に影響を与える事例が増えていることを挙げる。「自社で展開するサービスや製品の脆弱性を適切に管理するためのセキュリティ体制の構築が求められている。脆弱性情報が公開されてから実際の攻撃が行われるまでの日数がどんどん短くなるなか、自社のサービスや製品に内在する脆弱性をセキュリティインシデントに発展させないためには、脆弱性情報の収集と許容する脆弱性の選別や優先度付けをするトリアージをいかに効率的かつ迅速に行うかが重要になる」(同社)
このような状況の中で、有料・無料問わずさまざまな脆弱性情報配信サービスが提供されている。「一方で、脆弱性情報を収集しても、収集した情報が自社サービス・製品に与える影響や、対策の要否、緊急度の判別がつかないなどの課題があり、組織として十分な脆弱性管理ができていない現状がある」(同社)