マクニカは2022年1月26日、クラウド型脆弱性診断サービス「LeanSeeks(リーンシークス)」を発表した。同年2月1日から提供する。脆弱性スキャナが出力する大量のアラートを入力し、個々のアラートについて対処の必要性を判断し、優先順位を付ける。こうして、対処すべき重要な脆弱性を抽出する。ライセンスは年額制で、トリアージ対象となるインスタンス数に応じて課金する(最小構成は10インスタンス)。
マクニカの「LeanSeeks」は、情報システムの脆弱性アラートをトリアージするSaaSである。脆弱性スキャナが出力する大量のアラートを入力し、個々のアラートについて対処の必要性を判断し優先順位を付ける。トリアージにあたっては、脆弱性スキャナの出力データに加えて、攻撃コードの存在、各IT資産のリスク属性、ビジネスへの影響といった判断材料を考慮する。こうして、対処すべき重要な脆弱性を抽出する(図1)。
図1:脆弱性トリアージサービス「LeanSeeks」の概要(出典:マクニカ)拡大画像表示
国内のデータセンターからSaaSで提供する。Web画面またはWeb APIを介して利用する。ユーザーはまず、脆弱性スキャナが出力した脆弱性検出データ(JSONファイルなど)を、クラウドにアップロードする。さらに、アプリケーションを構成するインスタンスごとに、リスク属性を設定する。これらの準備が整ったら、クラウド上でトリアージを実行し、結果を確認する。
LeanSeeksのリリース時点でアラートを取り込める脆弱性スキャナは「Prisma Cloud」(米Palo Alto Networksが提供)だけである(関連記事:パロアルトネットワークス、クラウドセキュリティ製品群を「Prisma」へとリブランド)。今後、2022年4月以降を目途に、Amazon Web Services(AWS)などのパブリッククラウド上で提供するものやオープンソースなど、各種の脆弱性スキャナからデータを取り込めるようにする。
開発の背景として同社は、「対処すべき重要な脆弱性はどれなのかが分かりにくい」ことを挙げる(図2)。「脆弱性スキャナの多くは、脆弱性の深刻度を評価するCVSS(Common Vulnerability Scoring System:共通脆弱性評価システム)を基に脆弱性を報告するが、CVSSの最新版(V3)の場合、2020年に特定した脆弱性の約60%はCVSSの基本スコアが7.0(High)以上である。反対に、7.0未満で優先して対処すべき脆弱性も存在する。対応の優先度付けとしてCVSSだけを根拠とすべきではない」(マクニカ)という。
図2:共通脆弱性評価システムCVSSの基本スコアだけでは、対処すべき脆弱性が何なのかは分からない(出典:マクニカ)拡大画像表示
