「フォール イン ラブ(fall in love)」という言葉があるが「フォール イントゥ セキュリティ(fall into security)」という言葉をセキュリティ専門誌の記者を 20 年やっていてはじめて今回お聞きした。
米 Qualys 社のジョー・ペトロセリ氏はかつて、ミュージシャンを志してボストンの音楽院に入学した。卒業後学費を返還するために海軍に入隊する。IT 管理者が不足していたため海軍の情報システム部門に配属されてセキュリティ業務に 4 年従事したところ、すっかり彼はセキュリティの仕事に魅了されてしまった("I actually fell into security when I was in the Navy.")という。McAfee に転職し、Tenable を経て現職。気づいたら音楽家ではなく立派なセキュリティ技術者になっていた。
膨大なログデータからアノマリーを見つけ出すのも、無限の音の組み合わせの中から人の心を揺さぶる音のつながりを探し出すのも、双方「パターン」という点で共通点があるとジョーさんはインタビューで語った。取材でこういう人に会うと嬉しくなる。セキュリティの仕事に愛着を持ち楽しんでいる。
10 月に大阪・東京・名古屋で開催される総合セキュリティカンファレンス Security Days Fall 2024 で「Qualys Enterprise TruRisk プラットフォームでリスクを最大限に軽減」と題した講演を行う米 Qualys, Inc. バイスプレジデント / プロダクトマネジメントのジョー・ペトロセリ氏に講演の見どころや聞きどころ、Qualys 製品の最新情報について話を聞いた。
--
米 Qualys 社は 1999 年設立。世界で最初の SaaS ベースの脆弱性管理プラットフォームを開発・提供し、現在 130 カ国以上に顧客を有し、サブスクリプションベースの顧客は 10,000 社超。世界 15 カ所に支社があり、従業員は 2,000 人を超えている。
日本のパートナーは、2001 年から取り扱いをはじめた富士通株式会社にはじまり、株式会社ラック、NRIセキュアテクノロジーズ株式会社、NTTデータ先端技術株式会社、株式会社ユービーセキュアなど、セキュリティ製品に目端の利く企業が多く並んでいる。
Qualys の統合プラットフォームソリューションは、一つのプラットフォーム上で一つのエージェントを用いて情報収集を行い、可視化された単一のビューを提供することをモットーにしている。「資産管理」「脆弱性管理」「パッチ管理」「CSPM」「EDR」「XDR」「コンプライアンス対応」等の各機能を、「オンプレミス」「Webアプリケーション」「パブリック/プライベートクラウド」「コンテナ」などに対して網羅的に提供する。ペイ・パー・ホストのライセンス体系で一年に何回スキャンしても料金は変わらないから、DevSecOps 時代の脆弱性管理プラットフォームを先取りしていたと言えるかもしれない。
「Qualys は脆弱性の検出に留まらず、お客様の ITリスク削減に寄与するパッチ管理や緩和措置となる設定変更なども注力しています。ジョーは、現在開発中の LLM と生成 AI のリスクを軽減する製品も牽引しています」とクォリスジャパンの杉本氏はコメントする。
取材で知って驚いたことは Qualys が創業から 25 年間、ほとんどすべて自社開発で、それぞれの時代が求める新しい機能を拡張し続けてきた点だ。いまこの時代になってみるとこれはかなりユニークである。
よくあるのは、手っ取り早く新興ベンチャー等を買収して新技術を獲得するやり方だ。だがそれを続けていると、打率の高い外国人選手を寄せ集めたチームのようにプラットフォームが徐々にサイロ化していく。データフォーマットにバラつきがあったり、管理画面はひとつなのだがデータレイクがひとつではなかったり、バックエンドプロセスが複数あったりと統率がとれなくなっていく。Qualys にはそれが無い。「無い」と言い切ると誉めすぎな気がするので言い替えると、その度合がとても低いと思う。セキュリティ製品というのは、特に、全方向で網羅的に脆弱性を可視化することをうたう製品はこうあるべきである。
無駄に事業領域を広げていないのも良い。「もっとも費用対効果が高いセキュリティ対策こそ脆弱性管理であり、これこそ男子(女子も)一生の仕事」と自身をもって語りかけるかのようだ。
伊達に「一つのプラットフォーム」「一つのエージェント」「一つのビュー」と言っている訳ではない。
こういう製品、本誌 ScanNetSecurity 読者はけっこう好みかもしれない。
ジョーさん、もとい、ペトロセリ氏の講演では Qualys Enterprise TruRisk プラットフォームの機能について解説が行われる。
「過去 1 年間のデータを見ると CVSS スコアの 8 割がクリティカルとなっており役に立たない(ペトロセリ氏)」
TruRisk プラットフォームとは、たくさんのソースからたくさんのメタデータを集めて、25以上 のさまざまな Threat Intelligence との参照・統合も行い、資産の重要度やビジネスコンテキストをも加味してリスクスコアを算出し、何から手をつけたらいいのか明確化してくれるシステムである。詳細は講演で。
なお、Security Days Fall 2024 のクォリスジャパン株式会社の展示ブースでは、Qualys Enterprise TruRisk プラットフォームの展示とデモンストレーションも行われる。セキュリティと恋に落ちている本誌読者にあられては、是非、脆弱性管理の良心的老舗ベンダの製品の進化をご自身の目で確かめていただきたい。
10.23(水) 11:30-12:10 | RoomA
Qualys Enterprise TruRisk プラットフォームでリスクを最大限に軽減
Qualys, Inc.
バイスプレジデント / プロダクトマネジメント
ジョー・ペトロセリ氏
