Tweet

コンプライアンス監査機能も統合

「Security as a Service」を日本でも、クォリスが本格サービス開始

2008/03/03

　SaaS型の脆弱性管理サービスを提供している米クォリス（Qualys）は3月3日、日本法人クォリスジャパンを設立し、日本語による脆弱性管理・コンプライアンスサービスを展開していくことを発表した。

　ITシステムを構成するコンポーネントにはさまざまな脆弱性が存在するが、それを把握する方法の1つが、脆弱性スキャナを用いる方法だ。しかし、最新の脆弱性に対応したソフトウェアの開発に時間が掛かるほか、ソフトウェアのインストールや展開、メンテナンスなどの手間がかかることがユーザーの負担となってきた。

　これに対しクォリスのサービス「QualysGuard Enterprise」と中小企業向けの簡易版「QualysGuard Express」では、インターネット越しに脆弱性をチェックする。専用アプライアンスを併用することにより、イントラネット内部のサーバやPCなどの脆弱性についてもチェックが可能だ。

米クォリスの会長兼CEO、フィリップ・コート氏

　インターネット越しに透過的に、迅速にサービスを提供するため、「脆弱性監査を毎週、あるいは毎日という具合に日常的に行うことができる」（クォリスジャパンの代表取締役、菊地昭一氏）。また、優先順位付けに始まり、作業のアサイン、対策の実施、そのチェックといった脆弱性対応のプロセスを自動化できる点もメリットだと述べた。

　米クォリスの会長兼CEO、フィリップ・コート氏によると、同社がサービスを開始した数年間は「セキュリティをSaaS形式で提供するというアイデアは抵抗にあった。セキュリティ担当者はデータを外に出すのを嫌ったし、IT担当者は手元にソフトウェアをインストールしたがったからだ」という。しかし、今やSaaSモデルは受け入れられるようになったとし、「セキュリティに加え、コンプライアンスを統合して、サービスとして提供していく」と述べた。

　このため、いわゆる脆弱性の有無だけでなく、ネットワーク内部のサーバやPCの設定をチェックし、アカウントやパスワード、サービスの稼働状況などがセキュリティポリシーを満たしているかどうかの検査、監査を行う「QualysGuard Compliance Manager」を間もなく提供する予定という。これを活用すれば、PCIやSOXといった各種法規制へのコンプライアンス状況をチェックし、レポートとして出力することも可能になる。

　同氏は「アプリケーションレベルの脆弱性が増える傾向にある」と述べており、今後、クロスサイトスクリプティングをはじめとするWebアプリケーションの脆弱性をスキャンするサービスなどを追加する計画だという。

　なおクォリスではこれまで、富士通をパートナーとしてサービスを提供してきたが、新たにセキュリティベンダのラックとも提携を結び、同社のセキュリティ監視センター「JSOC（Japan Security Operation Center）」を介しても脆弱性検査サービスを提供する。ラックでは、「外部からだけでなく内部の脆弱性スキャンも可能なこと」「エージェントの代わりにアプライアンスを利用するため、運用管理の手間が少ないこと」をクォリス採用の理由として挙げている。

　サービス料金は、外部IPアドレス3個分に対する最も小規模なサービスで年額22万4250円。内部スキャンも組み合わせたサービスでは、アプライアンスの料金込みで年額約40万円からという。