到来する「脆弱性対策義務化時代」に脆弱性管理サービス「SIDfm」が果たす役割

　ユーザー企業
「システムや VPN 機器等の脆弱性への対応は納品した業者が当然やってくれるもの」

　システムインテグレータやソフトウェア開発企業
「脆弱性情報収集やパッチ当て等の脆弱性管理は契約の範囲外」

　DX（デジタルトランスフォーメーション）が声高に叫ばれる世の中で、決して誇張ではなく、一部のユーザー企業と一部の SIer等との間には、冒頭のような恐ろしい認識のズレが長らく存在していた。ユーザー企業はもちろんだが、最終的なエンドユーザーこそたまったものではない。もはや「ズレ」や「すれ違い」などという言葉ではぬるすぎる。これは「ニッポン サイバー 無責任時代」である、そう本誌がここで命名しよう。しかし変化の兆しも現れている。

　2023 年に厚生労働省が公開した「医療情報システムの安全管理に関するガイドライン 第 6.0 版」には、「情報セキュリティインシデントの未然防止策として、通常時から医療情報システムに関係する脆弱性対策（中略）等に関する情報を収集し、速やかに対策を講じることができる体制を整えるよう、企画管理者やシステム運用担当者に指示すること」という項目が「遵守事項」として記載されている。

　こうした背景のもとで改めて注目を浴びているのが国産の脆弱性管理サービス「SIDfm（エスアイディー エフエム）」である。ユーザー企業の情報システム部門や開発部門だけでなく、システムインテグレータやマネージドセキュリティサービス各社からの問い合わせも増えているという。

　東京駅南口から（信号が青なら）徒歩 30 秒の KITTE で 3 月に開催される Security Days Spring 2024 で、「属人化からの脱却！ 脆弱性情報管理を効率化し組織のセキュリティレベルを向上する術とは」と題した講演を行う、株式会社サイバーセキュリティクラウド 事業戦略本部 プロダクトマネジメント部 山本 裕貴（やまもと ゆうき）氏に、近年の脆弱性管理をめぐる状況と当日の講演内容について話を聞いた。

--

── 脆弱性管理への取り組みにはどういう類型や共通する特徴がありますか？

　大きく 3 パターンあるかと思います。ひとつは「脆弱性情報の収集や対応を行いたいのだが、資産の棚卸しがまだ充分でないお客様」、もうひとつは「ツール等を導入して資産管理はできているものの脆弱性情報と資産の紐付けができていないお客様」、三つめは「アプリケーションの開発フェーズなどで脆弱性が含まれない開発を気にされているお客様」です。

── 今回の講演のポイントを教えて下さい

　最初に昨今の深刻度の高い脆弱性の話や、ネットワークや VPN ルーターの脆弱性を突かれたランサムウェア被害などを挙げて脆弱性への対策の重要性をおさらいします。

　その後で、省庁からの各種ガイドラインで脆弱性管理の義務化が促進されていたり、SBOM の文脈で脆弱性管理が話題に上がっている件などに触れたいと思います。エンドユーザー様のセキュリティ人材が不足している場合、外部企業にシステムの開発から運用保守まで委託されていることはよくあると思いますが、保守契約の中に脆弱性管理・脆弱性対策・パッチマネージメント業務がそもそも含まれていないことがあります。そういった認識の齟齬の実態についてもお話しさせていただきつつ、それを解決する方法についてご提案します。

── 省庁からの脆弱性管理義務化のガイドラインには具体的にどんな記載があるのですか？

　具体的には「医療業界にシステムを納品したベンダーはその脆弱性管理もすること」という趣旨の記載があり、そればかりか「保守契約をしていない、単に機器を納品しただけのベンダーもその責任を負う」とあって、業界的には本当にこれをやらなければいけないのか、という反応が起こっています。

── 脆弱性管理サービス SIDfm はどんなことができる製品ですか？ 類似製品との差別化ポイントはなんでしょう

　お客様が保有しているソフトウェアや IT 資産を SIDfm に登録していただくことで、弊社独自の脆弱性データベースと突合して脆弱性を検知して、影響度合いを評価して通知、脆弱性毎にチケットを発行して対応が完了するまで進捗管理を行うことができる製品です。

　差別化のポイントは大きく 2 つあって、ひとつは SIDfm は、CVE や NVD ではなく弊社が提供する完全オリジナルの日本語の脆弱性データベースを持っていることです。他社製品は「具体的な概要や対処方法は各ベンダーの提供する情報を参照」などとなっている場合がありますが、SIDfm は必要な情報をすべて日本語で提供しているので、お客様が追加で調べる必要がありません。

　もうひとつは、SIDfm は他社製品のように脆弱性スキャナーがベースとなった製品では無いという点です。あくまでお客様が登録した資産情報をベースにマッチングを行うので、顧客の環境でスキャナーを走らせることができない場合もある、システムインテグレータさんやマネージドサービスプロバイダの条件下でもご利用いただくことができます。昨 2023 年には、マネージドサービスプロバイダ企業に向けた「SIDfm VM for MSP」も発表しており、問い合わせが増えています。

── 最後に、山本さんは現在の脆弱性管理の一番の問題はどこにあるとお考えですか？

　結局は、ある脆弱性が出たときに、本当に対処が必要な脆弱性かどうかを判断する責任を誰が持つのかということが、曖昧になっているところだと思います。

── コストやリスクをどこが引き受けるのか、これは非常に難しい問題ですね。本日はありがとうございました

--

　サービスインや納品後のシステムやアプリケーションの脆弱性管理が義務となっていけば、ユーザー企業やソフトウェア開発企業、インテグレータなどに少なくない影響がある一方で、脆弱性管理を適切に行うことが、ソフトウェア開発やシステムインテグレーションの重要な付加価値としてみなされ、競争力やサービス単価を上げる肯定的な効果も予想される。目端の利く企業はすでに SIDfm に着目しており、本講演は今回の Security Days Spring 2024 で見逃せない講演のひとつである。

Security Days Spring 2024
3.12(火) 16:35-17:15 | RoomA
「属人化からの脱却！脆弱性情報管理を効率化し組織のセキュリティレベルを向上する術とは」