トリップワイヤが「IP360」をバージョンアップ、仮想アプライアンスを追加：クラウド型脆弱性検査サービスも展開

トリップワイヤ・ジャパンは2014年4月17日、企業向けの脆弱性管理製品「IP360」のバージョンアップを発表した。これまで提供してきた物理アプライアンスに加え、仮想アプライアンスも提供する。

[高橋睦美，＠IT]

　トリップワイヤ・ジャパンは2014年4月17日、企業向けの脆弱（ぜいじゃく）性・リスク管理ソリューションの新バージョン「IP360 バージョン 7.3」を発表した。これまで提供してきたアプライアンスに加え、仮想アプライアンスも提供することが特徴だ。

　IP360はもともと、米トリップワイヤが2013年3月に買収したnCircleの脆弱性管理製品だ。エージェントレスで企業ネットワーク全体をスキャンし、どのホストやアプリケーションにどのような脆弱性があるかを検出。この結果と、機器構成情報やアプリケーションプロファイルを独自のスコアリングシステムによって分析し、優先順位付けを行った上で脆弱性情報を把握、管理できる。

　新バージョンでは仮想アプライアンス形態での提供をサポートした。「VMware ESXi」「VMware Workstation」「VMware Fusion」および「VirtualBox」などのハイパーバイザー上で、IP360の脆弱性検査機能を動作させることができる。つまり、オンプレミスはもちろん、クラウド上のインフラにおいても脆弱性管理を行えるようになる。

　米トリップワイヤ マーケティング担当バイスプレジデント エリザベス・アイルランド氏は、「仮想アプライアンス版の提供により、中規模の企業、あるいはプライベートクラウドを構築している大規模企業など、あらゆる規模の企業にとって脆弱性管理の導入が容易になる」と述べている。

　バージョン 7.3ではまた、Webアプリケーション脆弱性の検査機能も強化した。Webアプリケーションセキュリティの普及啓発を行っている業界団体、OWASPがまとめている脆弱性リスト「OWASP TOP10」に含まれている、クロスサイトスクリプティングをはじめとする脆弱性を検出できる。それ以外の検査対象も拡大し、約9万3000件の脆弱性を検査するという。これにより、「組織の中、ネットワークの中にどんな脆弱性があり、何が起きているかを網羅的に把握できる」（アイルランド氏）

　トリップワイヤ・ジャパンは同時に、クラウド型の脆弱性スキャンサービス「PureCloud」もリリースした。これは、トリップワイヤが運営するクラウドインフラ上でIP360を動作させ、ネットワーク越しに脆弱性検査を行うサービスだ。

　例えば、企業本社ではIP360を、複数の地方拠点ではPureCloudを用いて脆弱性検査を行い、その結果を集約することにより「全体像を把握することができる」とアイルランド氏は述べ、多数の小規模拠点を抱える小売業などに有効だとした。

　例えば、IP360を導入している米アイオワ州政府では、2012年10月の導入以来、ホスト上の「リスク」と分類される脆弱性が約6000件から半減した。この事例では一時的に8000件を超える脆弱性が見つかったが、「これはよくあること。より多くの範囲をスキャンすればするほど、よりハイリスクの脆弱性が見えてくる。今まで見えていなかった部分が網羅できているということだ」（アイルランド氏）。

米トリップワイヤ マーケティング担当バイスプレジデント エリザベス・アイルランド氏（左）とトリップワイヤ・ジャパン 代表取締役社長 杉山富治郎氏（右）

　2014年4月上旬には、オープンソースのSSL実装「OpenSSL」の脆弱性が明らかになり、多数のWebサービスに影響が及んだ。アイルランド氏は、この件を見ても脆弱性管理の重要性は高まっているとし、「脆弱性がどこにあるか、どこで侵害が起こり得るかを特定し、可能な限り迅速に対応することが重要だ」と述べている。