ICT環境のセキュリティ上の欠陥を速やかに特定する 「脆弱性見える化ソリューション」を提供開始

　NTTコミュニケーションズ株式会社(以下 NTT Com)は、総合リスクマネジメントサービス「WideAngle」のプロフェッショナルサービス(※1)の新たなメニューとして、「脆弱性見える化ソリューション(※2)」(以下 本ソリューション)を2018年6月下旬より提供開始します。これに先駆け、本ソリューションを十分に活用するための導入コンサルティングを2月28日より受付けます。

　本ソリューションは、システムの脆弱性(セキュリティ上の欠陥)を悪用したサイバー攻撃から、お客さまの多種多様なシステムが存在するICT環境全体を守るために、システム情報及び脆弱性情報を収集し、予防措置などの適切な対応を速やかに促します。これにより、お客さまはICT環境のセキュリティリスクを可視化することができ、システム停止など事業継続の的確な判断が可能になるとともに、脆弱性対応を効率化し、対策レベルの統一や作業負担の軽減を実現できます。

1．背景

　近年拡大している企業のデジタルトランスフォーメーションにより、ICT環境の事業上の重要性はより一層高まっています。一方で、2017年5月には、コンピュータのOSの脆弱性を悪用するランサムウェア(※3)「WannaCry(※4)」により生産ラインが停止するなど、サイバー攻撃を受けるリスクや事業への影響度も高まっています。

　このような事業継続を脅かす攻撃の糸口となる脆弱性は、日々新しく発見され、半日後にサイバー攻撃が開始される事例もあります(※5)。そのため、システムを多数抱える企業や官公庁では、脆弱性が発見されてから一刻も早くサイバー攻撃への対応を行う必要があります。

2．本ソリューションの特長

　本ソリューションは、お客さまのICT環境全体の資産情報をAPIで自動的に取込み、システムごとの脆弱性を一元管理します。お客さまは、脆弱性がICT環境に与える影響の有無や対応状況をリアルタイムに確認することができます。

　NTT Comは、2010年より脆弱性管理システムを導入しています。導入前には、脆弱性を発見してから該当するシステムを特定できるまでに約2週間を要する事例もありましたが、導入後には約10分で特定が可能になりました。NTT Comは、同システムをNTTグループに展開し運用する中で得られた豊富なノウハウ(※6)を、本ソリューションにおけるシステム情報と脆弱性情報のマッチング技術や脆弱性対応を円滑に統括するためのワークフロー機能に活用しています。また、お客さまに合わせた導入コンサルティングや登録代行支援、ならびにヘルプデスクに至る支援サービスについてもオールインワンサービスとして提供します。

　さらに、お客さまが安心して重要情報を保管できるよう、本ソリューションのプラットフォームは、NTT Comが保有する日本国内の高信頼なデータセンター内に設置しています。

3．期待される効果

(1) 経営者の事業継続の判断を支援

　本ソリューションにより、経営者は、サイバー攻撃が自社のICT環境に及ぼす影響を正確に把握し、事業基盤システムの停止など重要な判断においても、その判断の根底となるセキュリティリスクとその対処方法をリアルタイムに把握できます。また、脆弱性対応を速やかに講じることができるため、サイバー攻撃リスクの抑制にも効果があり、顧客からの信用失墜やビジネス機会の損失など、事業への影響を最小化できます。

(2) CSIRT(※7)の管理業務を効率化

　社内に多種多様なシステムがあり、脆弱性発見時の判定基準や対策レベルが全社で統一されていない場合には、CSIRTが日々発見される脆弱性への対応状況や自社のICT環境に及ぼす影響を迅速に把握することは困難です。本ソリューションのワークフロー機能を活用し、ICT環境全体のシステム情報や脆弱性情報、対応状況を一元管理することで、CSIRTは脆弱性判定基準や対策レベルの統一を効率的に実施できます。

(3) システム管理者の作業負荷を軽減

　脆弱性対応を実施するために、システム管理者は、高いセキュリティの専門知識を求められることに加えて、各システムの脆弱性確認や対応に多くの稼働を要しています。本ソリューションのマッチング技術により生成される対策対象一覧をダッシュボードで確認することにより、各システムにおける脆弱性の把握やリスクレベルと対処方法を容易に確認することが可能となり、システム管理者の脆弱性対応全般の作業負荷を軽減することできます。

＜利用イメージ＞

https://www.atpress.ne.jp/releases/150613/img_150613_1.jpg

4．提供範囲および提供開始日

2018年6月下旬より日本国内に提供開始

提供料金については、［別紙1］を参照

別紙1： https://www.atpress.ne.jp/releases/150613/att_150613_1.pdf

※導入コンサルティングや登録代行支援、ヘルプデスクなどの支援サービスおよびダッシュボードは日本語対応のみとなります。

5．その他のCSIRT向け支援サービス

　本ソリューションをより有効に利用するため、CSIRTを支援する各種サービスを取り揃えています。(［別紙2］を参照)

別紙2： https://www.atpress.ne.jp/releases/150613/att_150613_2.pdf

※1：プロフェッショナルサービスとは、リスクアセスメントやCSIRT構築支援を行う「総合コンサルティング」など、経験豊富なセキュリティコンサルタント・エンジニアが行う専門性の高いセキュリティサービス

※2：英語表記名「Vulnerable Assets Visualizing Solution」

※3：ランサムウェアとは、電子ファイルを強制的に暗号化し、原状回復の見返りに金銭を要求する手口に使われるマルウェア

※4：「WannaCry」は、2017年3月に明らかになったWindowsの SMB(Server Message Block) 1.0の脆弱性「CVE-2017-0144」 を悪用するランサムウェアで、ファイルを暗号化してビットコインで身代金を要求するもの

※5：2017年3月6日に公表されたApache Struts2の脆弱性では、発表から約半日後に、サイバー攻撃が観測された(当社調べ)

※6：NTTグループのシステム21万台(IPアドレス)の脆弱性対応で得られた運用ノウハウ(約72,000種のOS・APをカバー)を活用

※7：CSIRTとは、Computer Security Incident Response Teamの略

企業や行政機関などに設置される組織の一種で、コンピュータシステムやネットワークに保安上の問題に繋がる事象が発生した際に対応する組織