東芝情報システム株式会社

脆弱性マネジメントソリューション 概要

脆弱性の影響度を可視化して、セキュリティパッチの適用作業を自動化!

東芝情報システムは、BMC ソフトウェア社のシルバーパートナーです

東芝情報システムは、BMC ソフトウェア社のシルバーパートナーです

「脆弱性マネジメントソリューション」は、BMC ソフトウェア社が提供する「BMC BladeLogic Server Automation (ビーエムシー・ブレードロジック・サーバー・オートメーション)」「BMC BladeLogic Threat Director (ビーエムシー・ブレードロジック・スレット・ダイレクター)」と連携し、サーバーにおける脆弱性対策を、より確実に、より効率よく実施することができるソリューションです。

「脆弱性マネジメントソリューション」は、組織が保有するサーバーの脆弱性を可視化し、同時に、サーバーの脆弱性に対して自動的にセキュリティパッチを適用することができます。

これにより、組織全体の迅速なセキュリティ対策に貢献します。

「脆弱性マネジメントソリューション」導入メリット

  • 適用計画立案 効率化

    脆弱性情報を可視化することにより、適切なセキュリティパッチの適用計画が立案しやすくなります。

  • 適用実施率 向上

    適用計画の立案のしやすさや適用作業の自動化により、セキュリティパッチ適用の実施率が向上します。

  • 適用作業コスト 削減

    セキュリティパッチの適用作業自動化により、作業コストが削減されます。

セキュリティ対策の課題 - 「脆弱性マネジメントソリューション」が求められる理由

近年、IoT、マルチクラウド、ビッグデータなど多様化する IT 環境と、巧妙化するサイバー攻撃に対し、より網羅的で強固なセキュリティ対策が必要とされています。

(5) 攻撃手法

日米欧ともに「脆弱性(セキュリティパッチの未適用)を突かれたことによる不正アクセス」をあげる割合が高い。

51.7%

脆弱性 (セキュリティパッチの未適用) を突かれたことによる不正アクセス

IPA (独立行政法人 情報処理推進機構) の調査報告 [1] によれば、企業が受けたサイバー攻撃の手法としては、「脆弱性 (セキュリティパッチの未適用) を突かれたことによる不正アクセス」が、2017年度では全体の 51.7% と、最も高い割合となっています。

サイバー攻撃から企業を守るためには、「セキュリティパッチ未適用」の脆弱な状態を、できるだけ短時間で回復させることが必要となります。

現時点での情報セキュリティ人材は約28.1万人、現時点での不足数は約13.2万人

13.2万人

情報セキュリティ人材の不足数

しかし、現在、セキュリティ対策を講じるセキュリティ技術者は確実に不足しています [2]

このため、セキュリティ技術者が不足している状況で、できるだけ短時間で「セキュリティパッチ未適用」の脆弱性を発見し、かつ、効率的にセキュリティパッチを適用することが、現在のセキュリティ対策の課題となっています。

「脆弱性マネジメントソリューション」は、この課題に対するソリューションを提供します。

ソリューション全体概要

「脆弱性マネジメントソリューション」 全体概要図

「脆弱性マネジメントソリューション」 全体概要図

square-number-1

「脆弱性診断ツール」で、脆弱性リスクを把握

対応する「脆弱性診断ツール」:

  • Qualys 社 「QualysGuard」

  • Tenable Network Security 社 「Nessus」

  • Rapid7 社 「Nexpose」

square-number-1

「BMC BladeLogic Threat Director」で、脆弱性対応の運用状況を可視化

「脆弱性診断ツール」からインポートされた診断結果をもとに、組織内の脆弱性情報をダッシュボードに表示します。セキュリティ担当者は、可視化された脆弱性情報をもとにセキュリティ対策の優先付けと、脆弱性対策実施計画を立案します。

square-number-1

「BMC BladeLogic Server Automation」で、セキュリティパッチを自動で適用

「BMC BladeLogic Threat Director」で設定されたパラメーターにしたがって、セキュリティパッチをサーバーに自動で適用します。

「脆弱性診断データ変換モジュール」による「Tripwire IP360」との連携

Tripwire IP360 との連携イメージ

Tripwire IP360 との連携イメージ

トリップワイヤ社「Tripwire IP360」、BMC ソフトウェア社「BMC BladeLogic Threat Director」、東芝情報システムが提供する「脆弱性診断データ変換モジュール」が連携することで、「Tripwire IP360」の脆弱性診断結果を「BMC BladeLogic Threat Director」にインポートできます。

各製品とモジュールは、以下のように動作します。

  1. Phase #01

    脆弱性診断

    1. Tripwire IP360」が、ネットワーク内のデバイスの脆弱性をスキャンし、脆弱性情報を収集します。

    2. 「脆弱性診断データ変換モジュール」が、収集した脆弱性情報を、「BMC BladeLogic Threat Director」にインポートできる形式に変換します。

    3. 「BMC BladeLogic Threat Director」が、変換された脆弱性情報をインポートします。

  2. Phase #02

    計画立案

    1. セキュリティ担当者は、「BMC BladeLogic Threat Director」のダッシュボードに表示される、以下の情報を確認します。

      ダッシュボードに表示される情報:

      • 脅威レベル

      • 放置日数

      • サーバーポリシー

    2. この情報をもとにして、セキュリティパッチの適用作業の実行計画を立案します。

  3. Phase #03

    パラメーター設定

    セキュリティ担当者は、「BMC BladeLogic Threat Director」を使用して、セキュリティパッチの適用作業のパラメーターを設定します。 パラメーター例としては、以下のものがあります。

    パラメーター例:

    • 対象サーバー

    • セキュリティパッチの適用内容

    • スケジュール

    • その他

  4. Phase #04

    自動実行

    BMC BladeLogic Server Automation」は、パラメーターに従って、セキュリティパッチ適用作業を自動的に実行します。

    セキュリティパッチ適用作業が完了すると、その実行結果をダッシュボードに反映します。


[1] IPA:企業のCISOやCSIRTに関する実態調査2017 -調査報告書-,
https://www.ipa.go.jp/files/000058850.pdf

[2] 経済産業省: IT人材の最新動向と将来推計に関する調査結果,
http://www.meti.go.jp/policy/it_policy/jinzai/27FY/ITjinzai_report_summary.pdf

↑ページトップへ

お気軽にお問い合わせください。

電話番号044-246-8190

受付時間:9:00~17:45
但し、土曜・日曜・祝日および当社休業日を除く