東芝情報システム株式会社

マイナンバー対応トータル・ソリューション

セキュリティソリューション

脆弱性診断・管理ソリューション「Tripwire IP360」

「Tripwire IP360」 活用例

コストや手間を削減

ニーズ・課題

  • 新たな事業を立ち上げるにあたり、顧客企業から重要な情報を管理できるだけのセキュリティを担保するよう要求されている。
  • クライアント企業からPCI DSS準拠を求められており、年に数回の脆弱性診断を実施しなければならない。
  • 脆弱性診断を外部に依頼しているがコストがかさんでおり、社内手続きも面倒で時間と手間がかかっている。
  • システムやネットワークの変更をするたびに脆弱性診断を外部に依頼しなければならない。
  • 自社で脆弱性診断を実施したいが、多数のデバイスがあるため手作業でのチェックはほぼ不可能だ。
  • 診断結果により対処を実施したが、対処後に再診断するためには追加コストがかかってしまう。

ソリューション・ 効果

  • IP360を自社内に導入し、脆弱性診断を自社で実施するよう運用を変更。
  • IP360のレポートによりPCI DSSの監査において証跡として利用。
  • 脆弱性診断の度にかかっていたコストも抑制され、面倒な社内手続きも解消。
  • システム構成変更に合わせて即時診断が実施可能。さらに診断結果をもとに対処した後も再度診断を実施し、対処の効果を確認。

対処すべき内容の明確化

ニーズ・課題

  • 外部の専門家に脆弱性診断を依頼しているが、結果の分析・対処は結局自分たちで実施している。
  • 脆弱性診断の結果が分かりにくく、何から対処してよいかが分かりづらい。

ソリューション・ 効果

  • IP360を導入し、エージェントレスで企業ネットワーク全体をスキャンし、どのホストやアプリケーションにどのような脆弱性があるかを検出。この結果と、機器構成情報やアプリケーションプロファイルを独自のスコアリングシステムによって分析し、優先順位付けを行った上で脆弱性情報を把握、管理。
  • IP360のレポート機能により現場のエンジニア向けには詳細な内容を、そして経営者向けのサマリーレポートは一目で状況を把握できる視覚的なものを用意。

安全な導入、包括的な診断

ニーズ・課題

  • 診断対象にエージェントを入れる際に、障害を起こしたり、性能が落ちないか心配だ。
  • ソフトウェアをインストールできない組み込み系機器やモバイルデバイスも含めてセキュリティ上の「穴」がないか不安だ。

ソリューション・ 効果

  • エージェントレス・アーキテクチャにより、診断対象に影響を与えることなく脆弱性を診断。さらに無秩序に多数のプロトコルで"アタック"せず、対象機器の反応を見てプロトコルやバージョン、状況を把握したうえで問題がないかを判断し、慎重にチェックを実施。脆弱性診断により攻撃シミュレーションのつもりが実際に「攻撃」してしまいシステムをダウンさせる事故を防止。
  • エージェントレス・アーキテクチャにより、組み込み系の機器やモバイルデバイスについても診断を実施。また、スキャンのために各サーバで準備を行う必要がなくなるため、ミッションクリティカルなシステムに対しても監視、管理を実施。今までは実現不可能だった領域にも監視の目を行き渡らせ、潜在的な「穴」がないか、きちんとコンプライアンスを満たしているかどうかをチェック。
  • スコアだけでなく、実際に検査を行ったときのパケットの内容や履歴についても確認。さらに、パッチを適用するなどの対処を行った結果、反応がどう変わり、スコアがどう変化したのかを時系列で追跡。「パッチを当てたから対策完了」ではなく、脆弱性のマネジメントまで実施。

↑ページトップへ

ご質問・資料請求・見積もりなどお気軽にお問い合わせください。

電話番号044-246-8190 受付時間:9:00~17:30
但し、土曜・日曜・祝日および当社休業日を除く