検出された脆弱性に優先度を付け、企業の対策を支援するSaaS「LeanSeeks」　マクニカが提供

　株式会社マクニカは26日、ソフトウェアのセキュリティ脆弱性に対する“リスクトリアージ”を自動化するSaaS「LeanSeeks」を発表した。2月1日から、年間サブスクリプション形式で提供開始する。

　CVSSなどで報告されているソフトウェア脆弱性情報を基に、企業内で利用しているソフトウェアを照合して脆弱性を検出する脆弱性スキャナーは、さまざまなベンダーから提供されている。LeanSeeksでは、企業がこうした既存の脆弱性スキャナーツールを用いて検出した結果を基に、その企業のリスク属性を考慮して、対応の優先度を判断するという。

　ライセンス体系はインスタンス数×単価で、単価は個別相談となる。インスタンス数は、Kubernetes環境ではPod数、その他コンテナ環境ではコンテナ数、仮想マシン環境では仮想マシン数。ライセンスの最低購入数は10で、1年単位での購入となる。

　リリース時点では、脆弱性スキャナーとして、Palo Alto NetworksのPrisma Cloudの脆弱性スキャン機能に対応する。今後、2022年4月以降をめどに、パブリッククラウド上のサービスや、オープンソースソフトウェア（OSS）のツールなど、幅広い脆弱性スキャナーに対応していく予定だ。

脆弱性リスクトリアージプラットフォーム「LeanSeeks」

LeanSeeksのライセンス体系

優先度を付けないと手がまわらずインシデントに

　LeanSeeksのような脆弱性リスクのトリアージが必要になる背景を、同日開催された記者発表会において、株式会社マクニカ ネットワークス カンパニー 第1技術統括部 セキュリティソリューション技術部 第2課 課長 瀬治山豊氏が説明した。

　瀬治山氏は、脆弱性対策のあり方や常識が変化していると指摘する。これまでの脆弱性対策は、できるだけすべてのパッチをすぐに適用する、中でもCVSS 7.0以上は優先度を上げるというものだった。また、脆弱性を抱える資産の性質は加味せず、Excelで対応状況を管理するなどマンパワーに頼るということがある。その結果、手がまわらずにインシデントにつながってしまうという指摘だ。

　それに対して瀬治山氏が言う新しいあり方は、リスクの高い脆弱性を最優先で対処し、サーバー設置場所や保持する情報、インパクトも加味することで、限られたリソースの中でも効果的にリスクに対抗するというものだ。

株式会社マクニカ ネットワークス カンパニー 第1技術統括部 セキュリティソリューション技術部 第2課 課長 瀬治山豊氏

脆弱性対策のあり方や常識の変化

　瀬治山氏は「公表されるすべての脆弱性は危険であり、対処すべき」という考えをよくある誤解だと説明する。限定された条件下で攻撃が成立するなど理論上のものから、極めて容易に攻撃が可能なもの（Log4Shellなど）まであり、実際に悪用される脆弱性は約5％前後とのデータがあるという。そこで95％は後回しにして、リスクの高いものを優先的に対策するという趣旨だ。

　また、「CVSS 7.0以上は特に危険なため、優先して対処が必要」という考えもよくある誤解だと説明する。CVSS管理関係団体であるCERT/CCの「CVSSは（理論上の）脆弱性の深刻度を評価します。（実際の）セキュリティリスクではありません。」という言葉を引用。CVSS自体は重要な指標だが、優先度付けでは、それのみを根拠とすべきではないと主張した。

　その一方、脆弱性件数が急増し、クリティカルな脆弱性の報告頻度が上がっており、さらにビジネスへの被害が深刻なものになっている。そのため、実際にリスクの高い脆弱性への優先的な対応が求められるようになった。

　そこで、これまでの脆弱性対策では限界が生じているため、リスクベースで優先度を検討し緩急を付けて対処する必要があると瀬治山氏は説明した。

実際に悪用される脆弱性は約5％前後というデータ

CVSSのみを優先度付けの根拠とすべきではない

脆弱性件数が急増し、クリティカルな脆弱性の報告頻度が上がり、ビジネスへの被害も深刻に

既存の脆弱性スキャナーと連携して精度とスピードを両立

　LeanSeeksのコンセプトや狙いについては、LeanSeeksを企画して開発プロジェクトを立ち上げた、株式会社マクニカ ネットワークス カンパニー DX事業部 DXビジネス部 第2課 課長 前野秀彰氏が説明した。

　前野氏はLeanSeeksを「お客さまが利用している脆弱性スキャナーツールを有効活用しながら、精度の高い脆弱性リスクトリアージにより、脆弱性対応を劇的に効率化させることができるSaaS型サービス」と説明する。

　前野氏は瀬治山氏と同様に、脆弱性スキャンでCVSSスコアによってリスク判定する問題を指摘。多くの脆弱性スキャナーツールは、CVSS基本スコア（Base Metric Group）のみに基づいて判定するが、Temporal Metric Groupの攻撃コード状況や、Environmental Metric Groupのアセットに対するセキュリティ要件も考慮したリスク判断が必要だと語った。

株式会社マクニカ ネットワークス カンパニー DX事業部 DXビジネス部 第2課 課長 前野秀彰氏

CVSS基本スコアによるリスク判定の難しさ

　そのうえで前野氏は、既存の脆弱性スキャン製品を分類した。OSSの脆弱性スキャナーは一般に、CVSS基本スコアベースで脆弱性を判断する。一方、商用脆弱性管理専用製品は、OSSよりリッチな機能を持ち、CVSS基本スコア以外の要素からも脆弱性の優先度を判断する。

　そのほか、脆弱性管理の専用製品以外に付属する脆弱性スキャナー機能もある。コンテナセキュリティ製品の一機能や、パブリッククラウド上の付属機能、DevOps関連ツールの付属機能などだ。これらは脆弱性管理を含んだ包括的なセキュリティを扱う。ただし、これもCVSS基本スコアベースのものが多いという。

　そこで、OSS脆弱性スキャナーや、専用製品以外に付属する脆弱性スキャナーと連携して脆弱性をトリアージするのがLeanSeeksだと、前野氏は説明した。それにより、高い精度のリスク判断とスピードを両立するという。また、既存の脆弱性スキャナーを利用するため、導入コストが低いことも前野氏は特徴として挙げた。

脆弱性スキャナーの分類とLeanSeeksの役割

　そのほかの特長としては、コンテナ技術などクラウドネイティブな環境を前提としたトリアージが挙げられている。例えばコンテナに高い権限を設定してしまうケースがしばしばあり、そうした要素をトリアージに反映するという。

　また、Web UIに加えてAPIを提供するため（一部機能制限あり）、運用自動化が可能だ。

LeanSeeksの特長