今日のセキュリティをとりまく課題

近年のビジネスは、ネットワーク、モバイル展開、Web アプリ、クラウドデータなど、さまざまな場所で攻撃に晒されています。しかもこの攻撃対象は、ビジネスの要求による新規の部門、社員、パートナー、機器あるいはテクノロジーにより常に変化しています。
脅威の展望やそれに晒されるリスクが深刻化するにつれ、継続的にデータを収集するだけでなく、ビジネスの重要性を考慮したうえでデータを確認し、何を変更すべきかについて意思決定を行い、全体としてセキュリティ体制が改善されていることを確認する方法が必要になっています。
  • セキュリティ・リスクと実際のビジネスへのインパクトのギャップの視覚化(見える化)
  • 情報過多によって決断することができない
  • レメディエーションを他部署に伝えるのが大変
  • セキュリティ・プログラムが限定的過ぎる
  • セキュリティはお金を生まない。価値を見出せない
  • MacアドレスとIPアドレスを軸としたデータモデル
  • コピーされたデータに対して 1) 添付ファイル削除 2) リンク削除

社内IT資産の定期的な脆弱性情報管理、継続的な脆弱性リスク管理…できていますか?
脆弱性リスク管理…外部任せで大丈夫ですか?

Nexposeは脆弱性、制御、および構成を優先順位付けし、より良いリスク管理をより早く決定させることができる脆弱性情報管理ソリューションです。物理環境、仮想環境、モバイル環境、およびクラウド環境において、もっとも高度なセキュリティ評価を行うことができます。
また、VMware NSXと業界初の統合を果たしたことにより、仮想ネットワークのリスクをスキャンし軽減するための手法を提供します。

『Real Context』でリスクを効率的に管理

すべてのリスクが同じわけではありません。自社のビジネスに影響するリスクを把握する必要があります。『Real Context』は、状況に応じたビジネスインテリジェンスを提供するアルゴリズムです。自動化されたデバイス分類とリスクの優先順位付けを通じて、ユーザーがビジネスに影響する脅威のあるリスクに集中できるようにします。

強力なリスクおよびデータ分析

Nexposeにはカスタマイズ可能な組み込み型のレポートテンプレートが用意されており、誰でもレポートを作成できます。動的なアセットグループおよび脆弱性フィルタや複数のセキュリティの質問に答えることで、時間の経過とともにリスクがどのように変化しているかを確認し、改善されているかを判断できます。

脆弱性情報管理のコンプライアンス要件の遵守

Nexposeは、PCI DSS、NERC CIP、FISMA、HIPAA、SANS Top 20 CSC、DISA STIGS、および CIS の遵守を維持できるようにします。 複数のスキャンでネットワークに負荷をかける他のソリューションとは異なり、Nexpose のセキュリティおよびコンプライアンス評価は、包括的なリスクおよびコンプライアンス体制を提供することで、セキュリティプログラムのパフォーマンスを改善します。
insight VM
insightVMはNexposeのスーパーセットです。Nexposeの機能に加えてエージェント(Windows、Mac、Linux)による脆弱性リスク管理、クラウド上のダッシュボード等をサポートしています。

脆弱性リスクをリアルタイムに可視化
Dashboard

ダッシュボードでは様々な情報を含む「カード」が提供され、ユーザ毎に「カード」の選択が可能です。また、既存カードにフィルターを設定して新たなカードを編集することができます。「カード」の情報は、エージェントおよび管理コンソールの情報をリアルタイムに反映しますので、一目で脆弱性リスク状況の把握が可能です。

改善プロジェクト(チケット)管理機能
RemediationWorkflow

改善プロジェクト(チケット)を自動、または手動で生成することができます。チケットは各アセットの担当者にアサインされ、改善方法と期限が提示されます。改善作業の進捗が一元的に表示され、効率的な管理が可能となります。また、このインタフェースは容易にJIRA、ServiceNow等のワークフローとの統合が可能です。

Nexpose-insightVM機能比較

機能NexposeinsightVM
管理コンソールオンプレオンプレ
スキャンエンジン
エージェント
(Windows、Mac、Linux)
×
スキャン機能スケジュールスキャン
手動スキャン
スケジュールスキャン
手動スキャン
リアルタイムスキャン
(エージェントの場合)
Web Spider×
Remediation Workflow×
Live Dashboard×
ライセンス分割○(3つまで)○(3つまでだが
オプションで追加可能)

「脆弱性診断」と「脆弱性管理」の違い

脆弱性診断 / Vulnerability Assessment
  • 年1回、半期毎、四半期毎の定期的な診断
  • 外部ベンダーに委託(する事が多い)
  • 時点診断
  • 時点分析
問題点
・重要な脆弱性が発生した際の迅速対応が困難
・システム構成変更に対応することが困難
・時系列なリスクの把握が困難
・脆弱性問題対処後の確認が困難
脆弱性情報管理 / Vulnerability Management
  • 定期的&オンデマンドのスキャン
  • 内製化(CSIRTの1要素、SCAPの実践)
  • 継続診断(Continuous Monitoring)
  • ベースライン・ヒストリカル(リスク)分析

・Windows機器だけの検査
・Linux機器だけの検査
・仮想環境だけの検査
・CVE-2015-7547 glibc脆弱性該当機器の検査
・CVE-2015-8651 Adobe Flash該当機器の検査
・拠点、支店、部門 単位の検査
・自動スケジュールスキャン・自動レポーティング
・過去1年間の会社全体のリスク変化
・過去1年間のWindows機器のリスク変化