FutureVuls（フューチャーバルス）｜クラウド型脆弱性管理サービス

脆弱性管理の
よくある課題

課題 1

担当者依存による
手動運用の
限界と
脆弱性管理の停滞
- 年間4万件以上の脆弱性情報が公開され、その情報を継続的に収集するには多大な時間と手間がかかり、他の業務に支障が出る。
- 社内資産の構成管理が手動で行われており、メンテナンスもされないため、構成情報が陳腐化し、脆弱性情報との正確なマッチングができない。
- OSSツールで検知された大量の脆弱性に対する評価や対応策の決定は、膨大な作業量となり、判断が遅れ、迅速な対応が難しくなる。
課題 2

CVSSスコアで対応優先度を
判断すると脆弱性管理の
運用が回らない
- CVSSスコアは脆弱性のみの情報に基づいており、組織の「リスク = 脆弱性 × 脅威 × 影響」という総合的なリスク評価ができない。
- 脆弱性の半数がCVSSスコア７以上の「HIGH」に分類されるため、スコアを基にしても優先度を十分に絞り込むことが難しく、対応すべき脆弱性が多すぎて運用が回らない。
- リスク評価には高度な専門知識や最新の脅威情報が必要であり、これを正確に行うことは難易度が高く、判断の遅れや対応の遅延を招く可能性がある。
課題 3

全社的な
脆弱性管理の
横断的な
運用が困難
- 脆弱性管理はOS、アプリケーション、ネットワークなど複数のベンダや担当者が行っており、それぞれの責任が不明瞭で、責任分担が曖昧なまま運用されがちである。
- 危険な脆弱性が発見されたとき、影響調査が横断的にできないため、対応指示が遅れ、結果的に放置されるリスクがある。
- 危険な脆弱性を全社対応指示した後、各現場が実際に対応したかを後から機械的に追跡できないため、リスクが放置される可能性がある。

FutureVuls 3つの特徴

Point 1 徹底的な自動化により人的コストが大幅削減

FutureVulsは、脆弱性の特定から、対応指示までを自動で行います。
これにより、脆弱性管理に必要な業務を効率化し、手作業の煩雑さを排除します。また、自動で関連情報が関係者に配信されることにより、重大な脆弱性に対して迅速かつ漏れのない対応が可能です。

Point 2 高リスクな脆弱性を正確に見極め対応しシステムの安全を確保

FutureVulsは、SSVC(Stakeholder-Specific Vulnerability Categorization)というフレームワークに基づき、「脆弱性×脅威×資産の重要度」を考慮してリスクを評価します。専門家ではない方でも、システムの重要性や脅威の発生可能性を含めた高度なリスク評価が可能です。また、自社が本当に対応すべき脆弱性を洗い出すため、現実的に回る運用体制を確立することが可能です。