アプリケーションパフォーマンス管理を起源とし、オブザーバビリティツールを展開しているNew Relicが、アプリケーションライブラリの脆弱性管理機能を正式に提供開始した。IASTなど、他のセキュリティ機能も予定している。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
オブザーバビリティツールベンダーの間では、多様な角度からセキュリティに監視対象を広げる動きが進みつつある。New Relicは2023年2月9日、脆弱(ぜいじゃく)性管理機能の一般提供開始を、日本で説明した。
新機能「New Relic Vulnerability Management」は、既存のアプリケーションパフォーマンス管理(APM)用エージェントを使い、アプリケーションのライブラリの脆弱性を共通脆弱性識別子(CVE)と照らし合わせて見つけるもの。
同社はこれを一部企業に対して先行的に提供してきた。執行役員CTOの松本大樹氏によると、「『脆弱性管理は既にやっている』と言われることが多い。だが、このレベルの脆弱性管理は、実際にはやられていない例も見られる」という。
新機能では、ほぼリアルタイムで、アプリケーションごとにライブラリの脆弱性を「Critical(最重要)」「High(重要度が高い)」「Other(その他)」に分類して示す。脆弱性のあるアプリケーションの特定や優先度付けが容易にでき、開発、運用、セキュリティのチームが、共通の情報を基に協力して対応できるという。
同機能では、既存のAPMエージェントを利用するため、新たなエージェントを導入する必要がないことを、特徴の1つに挙げている。
現状で、New Relic Vulnerability Managementが正式に対応しているのはこのアプリケーション脆弱性に限られる。だが、同社はSnyk、GitHub Dependabot、AWS Security Hub、Trend Micro、Akamaiなどと提携しており、セキュリティのさまざまな側面をカバーしているという。
一方、New Relicは今回、K2 Cyber Securityという企業の買収で獲得したIAST(Interactive Application Security Testing)機能を限定プレビュー版としてリリースした。次にはエージェントを利用しないランタイム保護機能を用意するなど、自社のカバー範囲を広げていくという。
なお、New Relic Vulnerability Managementは、2月9日時点でJava、Node.js、Ruby、Pyhon、Goライブラリの脆弱性に対応する。.Net、PHPについても対応を予定している。
Copyright © ITmedia, Inc. All Rights Reserved.