[新製品・サービス]

マクニカ、脆弱性に優先順位を付けるサービス「LeanSeeks」、対処が必要な脆弱性を抽出

2022年1月26日(水)日川 佳三(IT Leaders編集部)

マクニカは2022年1月26日、脆弱性トリアージサービス「LeanSeeks(リーンシークス)」を発表した。同年2月1日から提供する。脆弱性スキャナが出力する大量のアラートを入力し、個々のアラートについて対処の必要性を判断し、優先順位を付ける。こうして、対処すべき重要な脆弱性を抽出する。SaaS型クラウドサービスの形態で提供する。ライセンスは年額制で、トリアージ対象となるインスタンス数に応じて課金する(最小構成は10インスタンス)。

 LeanSeeksは、情報システムの脆弱性アラートをトリアージするサービスである(図1)。脆弱性スキャナが出力する大量のアラートを入力し、個々のアラートについて対処の必要性を判断し、優先順位を付ける。トリアージにあたっては、脆弱性スキャナの出力データに加えて、攻撃コードの存在、各IT資産のリスク属性、ビジネスへの影響、といった判断材料を考慮する。こうして、対処すべき重要な脆弱性を抽出する。

図1:脆弱性トリアージサービス「LeanSeeks」の概要(出典:マクニカ)図1:脆弱性トリアージサービス「LeanSeeks」の概要(出典:マクニカ)
拡大画像表示

 国内のデータセンターからSaaS型クラウドサービスの形態で提供する。Web画面またはWeb APIを介して利用する。ユーザーはまず、脆弱性スキャナが出力した脆弱性検出データ(JSONファイルなど)を、クラウドにアップロードする。さらに、アプリケーションを構成するインスタンスごとに、リスク属性を設定する。これらの準備が整ったら、クラウド上でトリアージを実行し、結果を確認する。

  LeanSeeksのリリース時点でアラートを取り込める脆弱性スキャナは「Prisma Cloud」(米Palo Alto Networksが提供)だけである(関連記事パロアルトネットワークス、クラウドセキュリティ製品群を「Prisma」へとリブランド)。今後、2022年4月以降を目途に、Amazon Web Services(AWS)などのパブリッククラウド上で提供するものやオープンソースなど、各種の脆弱性スキャナからデータを取り込めるようにする。

 背景には、「対処すべき重要な脆弱性はどれなのか」が分かりにくい状況がある(図2)。脆弱性スキャナの多くは、脆弱性の深刻度を評価するシステム「CVSS」(Common Vulnerability Scoring System、共通脆弱性評価システム)を基に脆弱性を報告するが、CVSSの最新版(V3)の場合、2020年に特定した脆弱性の約60%はCVSSの基本スコアが「7.0」(High)以上である。反対に、7.0未満で優先して対処すべき脆弱性も存在する。「対応の優先度付けとしてCVSSだけを根拠とすべきではない」(マクニカ)という。

図2:共通脆弱性評価システムCVSSの基本スコアだけでは、対処すべき脆弱性が何なのかは分からない(出典:マクニカ)図2:共通脆弱性評価システムCVSSの基本スコアだけでは、対処すべき脆弱性が何なのかは分からない(出典:マクニカ)
拡大画像表示
関連キーワード

マクニカ / LeanSeeks / 脆弱性

関連記事

Special

-PR-

マクニカ、脆弱性に優先順位を付けるサービス「LeanSeeks」、対処が必要な脆弱性を抽出マクニカは2022年1月26日、脆弱性トリアージサービス「LeanSeeks(リーンシークス)」を発表した。同年2月1日から提供する。脆弱性スキャナが出力する大量のアラートを入力し、個々のアラートについて対処の必要性を判断し、優先順位を付ける。こうして、対処すべき重要な脆弱性を抽出する。SaaS型クラウドサービスの形態で提供する。ライセンスは年額制で、トリアージ対象となるインスタンス数に応じて課金する(最小構成は10インスタンス)。

PAGE TOP