03-6416-1579

平日 10:00-18:00

HOME

製品ラインアップ

SIDfm VM

脆弱性管理ツール

SIDfm VM

自社のセキュリティポリシーを守りながら、
脆弱性の自動検出や対応状態の一元管理ができる

自社のセキュリティポリシーを守りながら、
脆弱性の自動検出や対応状態の一元管理ができる

社内システムの脆弱性対応、
こんな状態ではありませんか?

  • 保守契約しているので、
    ベンダーが脆弱性対応まで
    やってくれているはず。。。

  • 運用保守をシステムごとの
    それぞれのベンダーに
    委託しているが、
    脆弱性対応基準がバラバラ。

  • エクセルやスプレッドシートで
    管理しているため管理負荷が高く、
    最新の対応状況がすぐにわからない。

  • セキュリティ人材がいなく
    脆弱性情報を読み解くのに
    スキルや時間が足りない。

そのお悩み、
SIDfm VM
すべて解決できます

脱属人化

自社のポリシーに沿った対応基準を設定でき、
独自指標でリスク評価の手間を削減できる

自社のセキュリティポリシーに応じて、脆弱性の対応基準(しきい値)を設定できます。
脆弱性のリスクを評価する指標としてCVSSに加えて、SIDfm独自の指標「SRI」も利用可能です。CVSSは「脆弱性そのものの特性」だけを評価するのに対し、SRIは実際の利用環境や攻撃コード出現有無、対策情報の利用可能性を考慮した指標のため、自社の環境にあったリスク評価ができます。SRIは、CSIRTが組織のリスク評価を行う際に判断する際にも有効です。

効率化

保守運用を委託しているベンダーと共同利用で、
脆弱性対応の依頼を自動化でき、
進捗状況が可視化される

保守運用を委託しているベンダーにもアカウントを発行し共同利用することができます。
委託しているシステムにおける対処が必要な脆弱性アラートのみがベンダーに通知されるので、ベンダーへの対応依頼が自動化できます。
対応状況はSIDfmで可視化されるため、進捗状況をベンダーに随時確認するという手間も不要になります。
各部門・組織ごとで保有するシステムを登録・管理が出来るため、全社でセキュリティレベルの向上が可能です。

工数削減

通知内容を細かくカスタマイズでき必要な情報を的確に受け取れるので、対処の実行判断を素早くできる

自社システムに影響を及ぼす脆弱性に関する通知のみを受け取ることとが可能です。
通知内容には日本語で解説した脆弱性の内容と対処方法、適用すべきパッチ情報などが含まれています。
従来実施していた脆弱性情報の内容の読み解き、英語の翻訳、ベンダーサイトでのパッチの探索などが不要になり、すぐに対処にあたることができるため対応速度が向上します。

可視化

一元化

SBOMのファイルインポートにも対応、
より柔軟な構成情報登録が可能に

SBOMのファイルをインポートでき、ホストの構成情報と紐づけることで管理対象ホスト単位でSBOMをインポートしているかどうかが一目でわかります。
また、インポートしたSBOMの記述内容と脆弱性検出対象の紐づけを一覧で確認することも可能です。

ホスト単位でSBOMを登録・更新・削除ができるため、ホストごとに利用しているSBOMの対象ソフトウェアバージョンの違いにも柔軟に対応可能です。
これにより、ホストごとのバージョンアップの作業とバージョンアップしたことによるSBOMの更新を連動させることがで、より実態に即した脆弱性管理ができます。
※現時点で対応しているフォーマット
・SPDX: 2.2, 2.2.1, 2.2.2, 2.3, 2.3.1
・CycloneDX: 1.1, 1.2, 1.3, 1.4
(形式はjsonとxmlの2種類)

効率化

情報保護

柔軟なアクセス権設定が可能
アドバイザリ単位のチケット管理で効率アップ

アカウントごとに閲覧範囲や操作の権限設定ができます。
保守・運用をベンダーに委託している場合、委託範囲のみ情報を渡すことができるので、作業効率を上げるとともに、情報保護にもつながります。

管理チケットは、基本的にCVE単位ではなくアドバイザリ情報を「一単位」として発行。
CVE毎に対応を検討する必要がないので、効率的に管理ができます。

SIDfm VMで実現できる
脆弱性管理のフロー

SIDfm VMでは、以下のようなフローと自動化により
各企業やシステムの継続的な脆弱性対策・管理をサポートします。

1.IT資産管理 2.脆弱性発見 3.脆弱性のトリアージ 4.脆弱性最終評価 5.チケット管理対応処理 6.パッチ(対処)適用実施 7.可視化

SIDfm VMを
導入するメリット

SIDfm VMでは、以下のようなフローと自動化により
各企業やシステムの継続的な脆弱性対策・管理をサポートします。

脆弱性への対応工数を約7割削減!
セキュリティ強化+工数削減を実現

SIDfmを利用することで、日々行う脆弱性への対応工数を軽減し、
生産性の向上につなげます。
また、「対応履歴・メモ」「フィルタ情報の継承」も可能=属人化の解消にもつながります。

自社で運用する場合(1名で試算)

毎日の運用工数

IPAおよびJPCERTなど情報収集 0.5h
自社資産との突き合わせて脆弱性特定 1.0h
優先順位付け 0.5h
脆弱性対応状況の確認(管理) 0.5h
合計 2.5h
月の工数(合計×20日) 50h

月に1度の運用工数

パッチ対応(対処) 8h

SIDfm VMで運用する場合

毎日の運用工数

毎日のルーティン作業必要なし!

年間600時間(約4人月)
工数削減

月に1度の運用工数

パッチ対応(対処) 8h

※上記工数は、「OS、アプリケーション、ネットワークの知識と経験を有した方を想定」「専任セキュリティエンジニア不在、インフラ兼任」を想定して当社で算出した例です。(ホスト20台相当で試算)

他社脆弱性管理サービスとの
比較

主言語

IT資産の登録と把握

脆弱性管理

情報ソース

パッチ情報

脅威度・トリアージ機能

サポート

SIDfm VM

日本語

・手動登録(ポータルから選択、CSVインポート、SBOMインポート) ・エージェントによる自動登録 ・ディスカバリ機能による自動登録 など

チケット管理が可能

NVD・KEVなどのメタデータと
ベンダーのアドバイザリー情報、
JVNなどの情報を
セキュリティアナリストが
専⾨家視点で読み解き作成した
独⾃の脆弱性情報コンテンツ

CVSS、またはSRIによる評価で
トリアージ

セキュリティコンサルタントによる
サポート
(製品仕様から脆弱性まで対応可能)

国内A社

日本語

外部からスキャンが必要
(サーバ負荷あり)

可能

NVD,JVN,IPA,JPCERT/CCの
情報を掲載

×

オートトリアージ機能あり

一般的なカスタマーサポートのみ

某海外製品

英語

外部からスキャンが必要
(サーバ負荷あり)

非対応

NVDの情報を掲載

×

CVSSに準拠

一般的なカスタマーサポートのみ

選べる導入タイプと利用料金

お客様の環境に合わせて導入タイプをお選びいただけます。

クラウドタイプ

管理サーバの構築・運用をお任せ
すぐに脆弱性管理を始めたい方

登録ホスト数

10ホスト

ソフトウェアタイプ

管理サーバを自社で構築・運用したい
セキュリティポリシー上、
クラウドサービスをご利用できない方

登録ホスト数

20ホスト

利用料金 年額 48万円

ログインID数制限なし

契約組織内でSIDfm VMを利用するユーザー数に制限はありません。

初回ご契約時には初期費用(100,000円税別)が別途必要となります。

ご利用期間は1年単位となります。

ホスト数の追加は可能です。追加する数によってボリュームディスカウントになる場合があります。まずはお問い合わせください。

価格表記は税別です。

よくあるご質問

  • SIDfm VMのホストとは何ですか?

    ホストとは、SIDfm VMにユーザが登録するサーバ機器や端末等の総称で、お客様がシステムの維持・管理を行っている対象の機器を意味します。SIDfm VMでは、このホストに紐付いた脆弱性情報(セキュリティホール情報)や運用に役立つ機能を提供します。ユーザがホストを登録する際、ホストに付ける名前は任意です。実際のサーバのホスト名でも通称でも構いません。担当者が区別・管理しやすい形で自由にご利用可能です。

  • SIDfm VM内で使用されている「プロダクト」とは何の意味ですか?

    SIDfm VMでの「プロダクト」とは、Red Hat Enterprise LinuxなどのOS、Apache Strutsなどのミドルウェア、Cisco IOSなどのハードウェアに搭載されるソフトウェアや一部のハードウェアなど、SIDfm VMで扱っている脆弱性情報提供の対象となるソフトウェアやハードウェアを示します。

  • セキュリティ情報は、どのくらいで登録されますか?

    弊社セキュリティ情報データベースの情報は、弊社が対象としております情報源を営業日毎に日々確認し、新しい脆弱性情報を発見または情報が更新されていた場合に原則2営業日以内にデータベースへの登録または更新を行います。

  • 申込み後、利用開始はどのくらいから始められますか?

    ライセンスのご利用開始は、通常弊社受注後1週間となります。お急ぎの場合などはご相談ください。

SIDfm VM for MSP

SIerやMSP事業者向けプランもあります!

  • 保守・運用している顧客の脆弱性管理がまとめてできます。
  • 通知や条件設定、閲覧範囲、編集権限も企業ごとに設定可能。
  • 月額プランで、ホスト数の変動にも柔軟に対応できます。