JBCCは2024年6月27日、セキュリティ脆弱性管理サービス「脆弱性マネジメントサービス」を提供開始した。Rapid7 Japanの脆弱性管理ツール「InsightVM」を用いて、ネットワーク環境における機器/端末といったIT資産を網羅的にスキャンし、脆弱性の有無や危険性を診断する。
JBCCの「脆弱性マネジメントサービス」は、継続的な脆弱性管理を支援するサービスである。Rapid7 Japanの脆弱性管理ツール「InsightVM」を用いて、ネットワーク環境を定期的にスキャンし、IT資産を把握し、脆弱性を診断し、リスクを評価する(図1)。
図1:「脆弱性マネジメントサービス」の概要(出典:JBCC)拡大画像表示
ユーザー環境に設置した管理サーバーから、ネットワークに接続した範囲を網羅的にスキャンする。これにより、IT部門が把握していない機器/端末の存在や、無許可のソフトウェア/サービスの利用状況を検知する。
新たに発見した脆弱性やIT資産についてメールでアラートを通知する。重要度や緊急性に応じて電話での対応を実施し、確実な対応を促す。加えて、専門知識を持ったエンジニアによる定期的なミーティングを実施する。以下のサービス項目を用意している。
- 定期スキャン:週次スキャンを基本に、重要セグメントについては日次スキャンを実施する
- アラート通知:新たに検出したIT資産や重要な脆弱性について通知する
- 定期ミーティング:現在のIT資産の状況、検出した脆弱性の数・重要度などの網羅的なレポートを作成。それを元に、リスクの増減や変化点、今後の対策の検討案を提示する
- 問い合わせ対応:検出した脆弱性の内容や対策方法についての質問・相談に対応する
- 設定変更対応:ユーザーからの依頼により、定期スキャンの頻度やアラート通知先など、設定の変更を実施する
脆弱性を悪用したサイバー攻撃が多発する中で、JBCCは、攻撃の侵入口となりうるVPNなどのネットワーク機器の保護に加え、侵入された場合の被害拡大を防ぐために、社内のIT資産を含めた脆弱性対策が重要となると指摘する。一方で、「企業が利用する機器や端末数は多く、各部門・組織が独自にIT資産を導入するケースもある。IT資産を正しく把握して脆弱性に適切に対処することは困難な状況になっている」(同社)という。
