[新製品・サービス]

2022年1月26日(水)日川 佳三（IT Leaders編集部）

リスト

　マクニカの「LeanSeeks」は、情報システムの脆弱性アラートをトリアージするSaaSである。脆弱性スキャナが出力する大量のアラートを入力し、個々のアラートについて対処の必要性を判断し優先順位を付ける。トリアージにあたっては、脆弱性スキャナの出力データに加えて、攻撃コードの存在、各IT資産のリスク属性、ビジネスへの影響といった判断材料を考慮する。こうして、対処すべき重要な脆弱性を抽出する（図1）。

図1：脆弱性トリアージサービス「LeanSeeks」の概要（出典：マクニカ）
拡大画像表示

　国内のデータセンターからSaaSで提供する。Web画面またはWeb APIを介して利用する。ユーザーはまず、脆弱性スキャナが出力した脆弱性検出データ（JSONファイルなど）を、クラウドにアップロードする。さらに、アプリケーションを構成するインスタンスごとに、リスク属性を設定する。これらの準備が整ったら、クラウド上でトリアージを実行し、結果を確認する。

  LeanSeeksのリリース時点でアラートを取り込める脆弱性スキャナは「Prisma Cloud」（米Palo Alto Networksが提供）だけである（関連記事：パロアルトネットワークス、クラウドセキュリティ製品群を「Prisma」へとリブランド）。今後、2022年4月以降を目途に、Amazon Web Services（AWS）などのパブリッククラウド上で提供するものやオープンソースなど、各種の脆弱性スキャナからデータを取り込めるようにする。

　開発の背景として同社は、「対処すべき重要な脆弱性はどれなのかが分かりにくい」ことを挙げる（図2）。「脆弱性スキャナの多くは、脆弱性の深刻度を評価するCVSS（Common Vulnerability Scoring System：共通脆弱性評価システム）を基に脆弱性を報告するが、CVSSの最新版（V3）の場合、2020年に特定した脆弱性の約60%はCVSSの基本スコアが7.0（High）以上である。反対に、7.0未満で優先して対処すべき脆弱性も存在する。対応の優先度付けとしてCVSSだけを根拠とすべきではない」（マクニカ）という。

図2：共通脆弱性評価システムCVSSの基本スコアだけでは、対処すべき脆弱性が何なのかは分からない（出典：マクニカ）
拡大画像表示