日々の脆弱性対策を誰でもラクに

メンドウでタイヘンな脆弱性管理、パッチ管理をセキュリティ専門家でなくてもラクにできるクラウドサービス

「PCI/DSS 要件6」を強力にサポート

2019.11.07 NEW CODE BLUE 2019 Tokyo(10/29-10/30)へ出展します
2019.10.07 Security Days Fall 2019 Tokyo(10/9-10/11)へ出展します
2019.06.20 イエラエセキュリティブログ 川口洋の座談会シリーズに神戸が登場しました
2019.03.20 外為どっとコム様店頭FXサービス「外貨ネクストネオ」にFutureVulsが導入されプレスリリースを発行しました
2019.03.15 3ヶ月間サーバ一台のスキャン(4000円分)が無料になる
クーポン配布キャンペーンを実施中です
2019.02.21 IPAテクニカルレポート「脆弱性対策の効果的な進め方 ツール活用編」にてVulsが紹介されています2019.10.9(Wed) - 11(Fri)
2018.09.20 @IT > Security & Trust > フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ

NEW CSIRTプランをリリースしました

大規模環境向けの複数システム・複数グループを効率よく管理する機能が新たに追加
社内で新たに検知した脆弱性を一括で確認し 必須で対応すべき脆弱性を運用者に知らせたり
対応の必要がない脆弱性を非表示したりといったトリアージをグループ横断して行えます
(100台以上から契約可能なプラン)
グループ横断 脆弱性管理
CSIRTがリスク大な脆弱性を一括注意喚起。
各運用者は確認し対応。
CSIRTは対応状況を追跡可能。

自動トリアージ
スコア・CVSSv3ベクタ・JPCERT/CC, US-CERT注意喚起情報をもとに
対応必須の脆弱性を運用者へ自動で注意喚起したり
リスクを受容する脆弱性を自動で非表示できます
ソフトウェア横断検索
最新脆弱性ニュースを見た社長から「うちは大丈夫か」
と言われたときに、該当ソフトウェア名でグループ横断検索
して、自社の影響有無を瞬時に調査できます

FutureVulsとは

脆弱性検知、判断、管理、計画、パッチ適用までをカバー
洗練されたUI/UXにより、ビジネスにとってリスクの高い脆弱性を抽出。
セキュリティ専門家でなくてもラクラク判断。 画面上からパッチ適用も可能。
Point1
圧倒的な検知能力
我々が開発した国産オープンソース脆弱性スキャナ「Vuls」をベースとしたスキャナを利用。OSベンダがまだパッチを提供していない脆弱性も検知可能。他の脆弱性スキャナと比較して10倍以上(OpenVASと比較)の検知数であり圧倒的な性能です。ネットワーク機器やプログラミング言語ライブラリも対象です。
Point2
判断に必要な情報を集約
検知した脆弱性すべてに対応する必要はありません。ネットワークから攻撃可能か、権限なしで攻撃可能課どうか、システムの環境や、攻撃コード公開状況などの組み合わせによって対応判断を行います。FutureVulsは画面上に各種情報を集約して表示することで対応判断をサポートします。
Point3
組織としての脆弱性対策
CVE-IDごとに情報共有可能な掲示板機能により組織内で協力して対応できるようにサポート。また要注意な脆弱性については注意喚起が可能です。セキュリティ部門が要注意とマークした脆弱性を目立たせて表示することで組織内に危険な脆弱性を周知、他グループの対応状況を画面上で確認できます。
Point4
初期費用必要なし
クラウドサービスなのでパッケージ製品のような初期投資は必要ありません。実際にご利用した分だけのお支払いなので無駄がありません。一定規模を超えるお客様につきましてはボリュームディスカウントも承りますのでお気軽にご相談ください。また約2週間ごとにバージョンアップを実施しています。

IPAがVulsを使った効率の良い脆弱性管理方法を解説

IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」

IPA(独立行政法人情報処理推進機構)は、オープンソースソフトウェアの“Vuls”(バルス)を用いた脆弱性対策の手順などについて解説した「脆弱性対策の効果的な進め方(ツール活用編)」を公開しました。

「脆弱性対策の効果的な進め方(ツール活用編)」では、オープンソースソフトウェアのVulsを活用した脆弱性対策の手順などを解説しています。

FutureVulsはさらに検知後の脆弱性管理の日々の運用をサポート

FutureVulsはOSS Vulsで実現した情報収集と影響範囲の可視化に加え、US-CERT/JPCERT注意喚起、独自で収集した攻撃コード情報などの脆弱性トリアージに必要な情報を画面上に集約し検知した脆弱性の優先順位付け、対応判断をサポート。さらに実際のアップデート時に発行するOSコマンドやAnsible Playbookの自動生成までをサポートします。

パンフレット

ご登録はこちらから

すべての機能を2週間無料でお試しいただけます。
実際にスキャンして危険な脆弱性がないかご確認ください。

さらに、今なら期間限定でクレジットカードを登録した方に
総額12,000円分クーポンキャンペーン
(3ヶ月間サーバ一台スキャン無料)を実施中です。
※本キャンペーンは、予告なく内容変更または終了させていただく場合がございます。

こちらから新規登録してFutureVulsをお試しください。
アップデート用コマンド表示
サーバに含まれる脆弱性に担当者を割り当てたり、受け持ったタスクに関係するパッケージを更新するコマンドをクリックひとつで作ることができます。Ansible Playbookもダウンロード可能です。
脆弱性情報をわかりやすく
検知された脆弱性のスコアやメトリクスといった詳細情報をスムーズに確認できます。攻撃コード公開状況や、サーバの環境に合わせてCVSSスコアの再計算も画面上でできます。また、攻撃コード公開状況などの対応判断に必要な情報をを画面上にまとめて表示することで、効率の良い脆弱性対応判断を助けます。
組織としての脆弱性対策が可能に
発見された脆弱性に対して、グループごとや会社全体での情報共有、知見を蓄積することができます。脆弱性調査内容や攻撃コード公開状況、環境に応じた対応方法などを共有することで効率の良い脆弱性対応が可能となります。

リスクを受容すると判断した脆弱性を一括非表示
スコアの低い脆弱性やローカル・物理でないと攻撃のできない脆弱性などリスクが小さいと判断したものは、一括で表示しないようにすることで、いま本当に対処する必要のある脆弱性に集中して取り組むことができます。非表示の条件としては、パッチがでるで非表示、CVSSスコアが変わるまで非表示、攻撃コードが見つかるまで非表示、期限を指定して非表示など色々な条件を指定して非表示にすることが可能です。

特定の脆弱性に関係するタスクや、あるサーバやロールに関係するタスク全てを一括で更新することもできるので、日々公開される大量の脆弱性を効率よく管理することができます。

選ばれる理由

簡単セットアップ

スキャン対象のサーバ上で、コマンド一つでセットアップは完了です。FutureVulsのスキャナプログラムは十分テストされているので、セットアップやバージョンアップ作業で試行錯誤する必要はありません。万が一、セットアップやバージョンアップが正常にできない場合はサポート部隊にお任せください。

パッチ未提供な脆弱性検知

我々が開発した「国産OSS脆弱性スキャナ Vuls 」がベースのスキャナを用いており、OSディストリビュータからまだパッチ提供されてていない脆弱性も検知可能です。競合製品と比較しても検知件数は10倍以上(OpenVASと比較)であり、漏れのない対策が可能です。また稼働中のサーバに負荷をかけません。

環境に合わせた危険度算出

NVD, JVNやOSディストリビュータが提供する脆弱性情報の一般的なスコアに加え、サーバ環境やエクスプロイトコード公開状況、対応策公開状況などの情報をを元にして、簡単に脆弱性深刻度(CVSS)の再計算が可能です。再計算することで該当サーバ環境や現状に即したより正しいスコアでの判断が可能となります。

タスクチケット管理

脆弱性の対応状況をタスクとして管理し、優先順位付けや対応者のアサインなどが可能です。CVSSスコアやネットワークからの攻撃可否などでフィルタし、一括でのタスク更新が可能です。パッチ適用後はタスクステータスが自動で適用済みとなります。

組織としての脆弱性対策

CVE-ID単位での情報共有/議論が可能です。組織内のCSIRT/SOC, 開発チーム, 運用チームが、検証結果の共有や、パッチ適用要否の相談などを集約することで脱属人化、組織としての脆弱性対応をサポートしCSIRT組織のボトムアップが可能となります。

生情報による優先度付け

実際に起動しているサーバ、プロセスの情報を元にした判断が可能です。ソフトウェア・アップデート時にプロセス再起動が必要かの事前確認、再起動忘れを検知可能です。 また、対象なるサーバOS、パッケージ用のアップデートコマンドを表示可能です。

Windows, NW機器, 大規模対応

OSS Vulsでは未サポートである、Windowsがスキャン可能です。また、CPEを登録することでNewtork機器の脆弱性も検知可能です。また大規模環境では、複数サーバを束ねるロールを用いることで、ロール単位での一括管理が可能です。

マルチクラウド・オンプレも

どのクラウドサービスでも、オンプレ環境でも動作、FutureVulsに脆弱性情報を集約することで一元管理が可能です。またメジャーなLinuxディストリビューションはサポートしており、コンテナのスキャンも可能です。

REST APIによるサービス連携

REST APIを用いれば外部サービスと連携が可能です。例えばタスクをGoogle Calendarへ同期、重要な脆弱性のSlack通知、または自社のオンプレミスのRedmineにタスクを連携するなどが可能です。REST APIは後方互換性があります(OSS Vulsは後方互換性なし)ので、自作スクリプトが動かなくなることはありません。

IDS/IPS製品と自動連携

検知精度に秀でるFutureVulsと「Trend Micro Deep Security as a Service™」が連携することで、管理対象サーバ群に潜む脆弱性の検知から防御ルールの生成までが自動化されます。その結果、標的型サイバー攻撃リスクが大幅に軽減され、且つより効率的にPCI/DSS 要件6. への準拠が可能です。

専門家相談

オプションとして、検知した脆弱性への対応相談が可能です。対象の脆弱性情報の詳細だけではなく、対応要否や優先的に対応すべきサーバなどの対応方法についても相談が可能です。

有償DB利用

オプションとして、VulnDBなどの、有償の脆弱性データベースと組み合わせることが可能です。有償データベースは脆弱性の鮮度や網羅性が高く、より高精度な検知が可能となります。また攻撃コード有無、緩和策などの情報もご利用いただけます。

導入企業の声

Sansan株式会社

Sansanは現在、7,000社を超えるユーザに高品質なクラウドサービスを提供しています。Sansanにとって高度なセキュリティ水準を維持したシステムの安定稼働は極めて重要ですが、膨大なサーバ群の運用管理負荷が高いことが大きな課題でした。これに対する有効な解決策として導入したのが、「FutureVuls」です。導入のポイントは以下のとおりです

Point1
運用管理業務の負荷を劇的に軽減
大量の脆弱性情報の中から自社システムに関係する情報のみを抜け漏れなく検知し、当該サーバを迅速に特定可能なため、運用管理業務の負荷が劇的に軽減される。
Point2
高水準なセキュリティレベルの維持
自社環境に合わせた脆弱性深刻度による優先順位づけや対策漏れチェック機能により、検知から対応完了までを確実に実施し、高水準のセキュリティレベルを維持できる。
Point3
進化に期待できる

フィードバックや要望への対応が早い。2018/8/27の画面刷新でより使いやすくなった。開発のスピード感があり、勢いもあるので今後の進化にも期待できる。
Point4
直感的な画面

検知された脆弱性の詳細情報や対応状況、タスクチケットによる運用管理者の対応ステータスがわかりやすく画面に表示されるため、直観的に把握、操作できる。
株式会社外為どっとコム

外為どっとコムは、一般投資家を対象にインターネットを通じた店頭FXサービスを展開しています。投資家の多様なニーズや年々加速する店頭FXの処理スピードに対応し続けることはもとより、金融機関を標的とする多数のサイバー攻撃を確実に防御して顧客に高速で安定したサービスを提供するためには、システムの処理性能と耐障害性の強化に加え、非常に高いセキュリティレベルを保った運用が必要でした。

フューチャーアーキテクトは、2013年1月に外為どっとコムと共同で「外貨ネクストネオ」システムを構築して以来、本システムを対象にセキュリティコンサルティングサービスを提供しています。今回、当社が独自に開発した「FutureVuls」を導入し、管理対象サーバ群のセキュリティを強化しました。これにより、脆弱性のチェックと影響するサーバの特定が自動化され、低負荷の運用で高いセキュリティレベルを保持します。

プレスリリースより抜粋

料金

メディア掲載

お問い合わせ

より詳しく知りたい方や、利用を検討されている方は
お気軽にお問い合わせください。