このページの本文へ

脆弱性対応を効果的に進めたい運用管理

脆弱性とは

脆弱性はサイバー攻撃に悪用されるため、そのまま放置せず迅速に対処する必要があります。
しかし、日々公開される脆弱性への対応を行う人的リソースは限られており、見落としや対応の遅れが発生する可能性があります。このため、脆弱性情報を確認の上、重大度や影響範囲を検討し、実際に対応を行う一連のプロセスを効果的に進めることが重要です。

主な対策について

脆弱性情報提供サービス

日々公開される膨大な脆弱性情報から、自社システムへの影響度を確認し、対処方法を検討する作業を情報システム担当者だけで行うことは不可能です。脆弱性情報提供サービスは、脆弱性情報データベースなどから収集した情報の中から、お客さま環境に合致した必要な脆弱性情報と対策情報のみを提供するサービスです。

脆弱性・パッチ管理

脆弱性・パッチ管理ツールにより、PCにインストールしているアプリケーションを自動スキャンし、脆弱性をタイムリーに検出することができます。
また、脆弱性を影響度に応じて優先順位付けすることで、パッチの適用を効果的に進めることが可能です。脆弱性対応の一連のプロセスを自動化することによって、エンドポイントに対する攻撃を未然に防ぎます。

脆弱性診断

脆弱性診断は、Webアプリケーションやサーバー/ネットワーク機器、クラウドサービス等に存在する脆弱性を発⾒する調査サービスです。脆弱性診断にはさまざまな手法があり、ツール診断とサイバー攻撃に精通したエンジニアによる手動診断に大別されます。脆弱性診断を実施し、対策状況を把握することによって、その後に必要な対策や検討すべき課題を洗い出すことができます。

WAF

WAF(Web Application Firewall)は、Webアプリケーションの脆弱性を悪用した攻撃を防ぐための専用ツールです。WAFを導入していれば、Webアプリケーションの脆弱性をすぐに修正するのが困難な場合でも、不正アクセスを防ぐ効果があります。マネージドサービスとして提供されるクラウド型WAFであれば、運用管理をサービス提供元に任せることができるため、手軽に導入することができます。

対象商品

脆弱性情報提供サービス 事前にお客さまから提供されたシステム構成情報と、脆弱性情報収集ツールなどから収集した脆弱性情報をマッチングして、お客さまそれぞれが必要とする脆弱性情報のみを提供するサービスです。
(サービス開発・提供元:キヤノンITソリューションズ株式会社)
ESETセキュリティソリューションシリーズ ESET社の脆弱性・パッチ管理機能は、ESET PROTECTソリューションに含まれます(一部製品を除く)。エンドポイントの脆弱性を自動診断し、パッチを適用します。
(サービス開発・提供元:ESET, spol. s r.o.)
脆弱性診断サービス 対象となるシステムに、悪用できる脆弱性がないかをチェックしてセキュリティの状態を確認する診断サービスです。適切な対策を施すために、サイバー攻撃のきっかけとなる脆弱性(リスク)を発見することが目的です。
(サービス開発・提供元:GMOサイバーセキュリティ byイエラエ株式会社)
SiteGuard Cloud Edition SQLインジェクションなど、Webアプリケーションの脆弱性を悪用した攻撃からWebサイトを保護する、マネージドサービスとして提供されるクラウド型WAFです。
(サービス開発・提供元:EGセキュアソリューションズ株式会社)