マルチベンダーならではの、脆弱性管理の課題
SIDfmの導入背景をお聞かせください。
マネージドネットワークサービスでは、お客様からお預かりしているネットワーク機器の設定変更や障害時の対応などの運用を行っております。そのため、脆弱性が発見され、アップデートプログラムが公開された際にも、私たちからお客様に対して、その内容のお知らせと対応について提案を行う必要があります。
SIDfmを検討した主な背景としては、大きく2つございます。
1つは、脆弱性情報収集の効率化です。
弊社サービスはマルチベンダーを強みとしているため、運用対象の機器は様々です。漏れなくスピーディーにお客様へ提案を行うために、脆弱性情報は各メーカーからそれぞれ発信される一次情報を頻繁に収集する必要がありました。これは限られた人数で運用する上で非常に工数のかかる業務となっていました。
もう1つは、運用オペレーションの標準化です。
脆弱性への根本対策はバージョンアップが一般的ですが、作業中の通信断発生など、お客様にとって負担を伴う作業でもあるため、全ての脆弱性に対して都度対応することは現実的ではありません。そこで、なにかしらの指標をもって対策実施の判断を行う仕組みが必要でした。
しかし、各メーカーが公開する情報やCVSSスコアでは、お客様の環境にあったご提案の判断は難しく、判断したとしても、お客様が安心して納得していただく一貫したご説明をするためにはどうしたらよいか悩んでおりました。
これからの課題を解決するためにいい方法がないか検討していたところ、脆弱性対策ソリューションのSIDfmを見つけ、まさにこの課題解決に必要な情報と機能を兼ね備えており、導入時の初期設定コスト含め手軽に始めることができるものだったため、導入することになりました。
SRIを活用した、トリアージの効率化
SIDfmを評価いただいたポイントをお聞かせください。
まず多くの製品の脆弱性情報を1ヵ所で確認できることです。CVE、JPCERT、JVNの情報では外部リンクとなっており、内容を別途確認しなければならないメーカーサイトの情報やパッチ情報もすべて1つのコンテンツでまとまっており、かつ日本語で確認できるため、誤認のリスクを低減できることも評価ポイントでした。
次に脆弱性ごとにCVSSスコア以外にSRI(SIDfm Risk Impact)指標が用意されていたことです。
CVSSスコアは脆弱性の深刻度を、脆弱性の特性を複数の要素で評価し、それらを決められた計算式で算出された数値のため、同じスコアでもお客様の環境によって、対応するかしないかの提案が変わってしまいます、これに対してSIDfmでは、自分たちが運用で判断しているような基準で既に評価(SRI指標)されており、運用対象の機器を登録する際に、お客様の使用用途の属性(ホストカテゴリ)を選択することで、お客様にとって対応が必要な脆弱性に絞り込んだ運用を設計することができることが非常に大きな評価ポイントでした。
システム運用の必需品SIDfm、圧倒的コストパフォーマンス
実際にSIDfm導入後の効果はいかがでしたか?
期待通り、情報収集の工数は削減できましたし、運用にしっかり組み込むことができました。今となっては、SIDfmなしの運用は考えられません。
さらに、ユーザーとなって感じたところとして、日々追加されている脆弱性情報や対象製品の量ですね。サイバーセキュリティクラウドさんからは取り扱い製品にないものがあれば、追加検討も可能なので、気軽に言ってくださいとおっしゃっていただいており、毎月のように製品が追加されていくのを見て、これだけの脆弱性情報をこんなに安く利用させてもらっていいのかな?と思うほどです。
最後に、今後のSIDfmに対してコメントいただけますでしょうか。
今ではサービス運用に必須のツールとなっているため、今後も取り扱い製品などの追加や、使用面での要望が出てきましたら、検討してもらえると助かります。
お客様にも指標としてSIDfmを活用していること、SRIの定義についてもお話させていただいておりますし、当初利用を検討した私の部署以外での活用も広がってきておりますので、今後ともよろしくお願いいたします。
