日々の脆弱性対策を誰でもラクに

メンドウでタイヘンな脆弱性管理、パッチ管理をセキュリティ専門家でなくてもラクにできるクラウドサービス

「PCI/DSS 要件6」を強力にサポート

2019.10.07 CODE BLUE 2019 Tokyo(10/29-10/30)へ出展します
2019.10.07 Security Days Fall 2019 Tokyo(10/9-10/11)へ出展します
2019.06.20 イエラエセキュリティブログ 川口洋の座談会シリーズに神戸が登場しました
2019.03.20 外為どっとコム様店頭FXサービス「外貨ネクストネオ」にFutureVulsが導入されプレスリリースを発行しました
2019.03.15 3ヶ月間サーバ一台のスキャン(4000円分)が無料になる
クーポン配布キャンペーンを実施中です
2019.02.21 IPAテクニカルレポート「脆弱性対策の効果的な進め方 ツール活用編」にてVulsが紹介されています2019.10.9(Wed) - 11(Fri)
2018.09.20 @IT > Security & Trust > フューチャー、OSSの「Vuls」と商用版「FutureVuls」をバージョンアップ

CSIRTプラン

CSIRT/セキュリティ部門向けのプランを追加
複数システムの横断的な管理や社内への注意喚起、その後の対応を追跡可能。
低リスクな脆弱性の自動非表示、危険な脆弱性の自動注意喚起など自動トリアージ機能もサポート
(100台以上から契約可能なプラン)
グループ横断 脆弱性管理
複数グループ(システム)を横断管理。危険な脆弱性を一括注意喚起。 各運用者は確認し対応。CSIRTはその後の対応状況を追跡可能。 低リスクな脆弱性は一括で非表示に。
自動トリアージ
スコア・CVSSベクタ・JPCERT/CC注意喚起などの組み合わせを定義。 高リスクな脆弱性は運用者へ自動注意喚起。 低リスクな脆弱性は自動で非表示。
ソフトウェア横断検索
最新脆弱性ニュースを見た社長から「うちは大丈夫か」 と言われたときに、該当ソフトウェア名でグループ横断検索 して、自社の影響有無を瞬時に調査可能。

FutureVulsとは

脆弱性検知、判断、管理、計画、パッチ適用までをカバー
洗練されたUI/UXにより、ビジネスにとってリスクの高い脆弱性を抽出。
セキュリティ専門家でなくてもラクラク判断。 画面上からパッチ適用も可能。
Point1
圧倒的な検知能力
我々が開発した国産オープンソース脆弱性スキャナ「Vuls」をベースとしたスキャナを利用。OSベンダがまだパッチを提供していない脆弱性も検知可能。他の脆弱性スキャナと比較して10倍以上(OpenVASと比較)の検知数であり圧倒的な性能です。ネットワーク機器やプログラミング言語ライブラリも対象です。
Point2
判断に必要な情報を集約
検知した脆弱性すべてに対応する必要はありません。ネットワークから攻撃可能か、権限なしで攻撃可能課どうか、システムの環境や、攻撃コード公開状況などの組み合わせによって対応判断を行います。FutureVulsは画面上に各種情報を集約して表示することで対応判断をサポートします。
Point3
組織としての脆弱性対策
CVE-IDごとに情報共有可能な掲示板機能により組織内で協力して対応できるようにサポート。また要注意な脆弱性については注意喚起が可能です。セキュリティ部門が要注意とマークした脆弱性を目立たせて表示することで組織内に危険な脆弱性を周知、他グループの対応状況を画面上で確認できます。
Point4
初期費用必要なし
クラウドサービスなのでパッケージ製品のような初期投資は必要ありません。実際にご利用した分だけのお支払いなので無駄がありません。一定規模を超えるお客様につきましてはボリュームディスカウントも承りますのでお気軽にご相談ください。また約2週間ごとにバージョンアップを実施しています。

IPAがVulsを使った効率の良い脆弱性管理方法を解説

IPAテクニカルウォッチ「脆弱性対策の効果的な進め方(ツール活用編)」

IPA(独立行政法人情報処理推進機構)は、オープンソースソフトウェアの“Vuls”(バルス)を用いた脆弱性対策の手順などについて解説した「脆弱性対策の効果的な進め方(ツール活用編)」を公開しました。

「脆弱性対策の効果的な進め方(ツール活用編)」では、オープンソースソフトウェアのVulsを活用した脆弱性対策の手順などを解説しています。

FutureVulsはさらに検知後の脆弱性管理の日々の運用をサポート

FutureVulsはOSS Vulsで実現した情報収集と影響範囲の可視化に加え、US-CERT/JPCERT注意喚起、独自で収集した攻撃コード情報などの脆弱性トリアージに必要な情報を画面上に集約し検知した脆弱性の優先順位付け、対応判断をサポート。さらに実際のアップデート時に発行するOSコマンドやAnsible Playbookの自動生成までをサポートします。

パンフレット

ご登録はこちらから

すべての機能を2週間無料でお試しいただけます。
実際にスキャンして危険な脆弱性がないかご確認ください。

さらに、今なら期間限定でクレジットカードを登録した方に
総額12,000円分クーポンキャンペーン
(3ヶ月間サーバ一台スキャン無料)を実施中です。
※本キャンペーンは、予告なく内容変更または終了させていただく場合がございます。

こちらから新規登録してFutureVulsをお試しください。
アップデート作業の補助
サーバに含まれる脆弱性に担当者を割り当てたり、OSパッケージを更新するコマンドをクリックひとつで作ることができます。Ansible Playbookもダウンロード可能です。AWS環境の場合はFutureVuls画面上から実際にアップデートすることも可能です。
脆弱性情報をわかりやすく
検知された脆弱性のスコアやメトリクスといった詳細情報をスムーズに確認できます。攻撃コード公開状況や、サーバの環境に合わせてCVSSスコアの再計算も画面上でできます。また、攻撃コード公開状況などの対応判断に必要な情報をを画面上にまとめて表示することで、効率の良い脆弱性対応判断を助けます。
CSIRTと運用現場が協力して対応可能に
発見された脆弱性に対して、グループごとや会社全体での情報共有、知見を蓄積することができます。脆弱性調査内容や攻撃コード公開状況、対応方法などを共有可能です。また、組織全体の脆弱性管理をする方向けの機能として、グループを横断して危険な脆弱性を注意喚起を行い、その後の対応状況を追跡可能な機能を搭載したCSIRTプランもご用意しています。

リスクを受容すると判断した脆弱性を一括非表示
スコアの低い脆弱性やローカル・物理でないと攻撃のできない脆弱性などリスクが小さいと判断したものは、一括選択して非表示にできます。非表示の条件としては、パッチがでるまで、CVSSスコアが変わるまで、攻撃コードが見つかるまで、期限を指定して非表示など色々な条件を指定することが可能です。また、CSIRTプランでは予め条件を登録して自動で非表示にする機能があります。

特定の脆弱性に関係するタスクや、あるサーバやロールに関係するタスク全てを一括で更新することもできるので、日々公開される大量の脆弱性を効率よく管理することができます。

選ばれる理由

簡単セットアップ

スキャン対象のサーバ上で、コマンド一つでセットアップは完了です。FutureVulsのスキャナプログラムは十分テストされているので、セットアップやバージョンアップ作業で試行錯誤する必要はありません。万が一、セットアップやバージョンアップが正常にできない場合はサポート部隊にお任せください。

パッチ未提供な脆弱性検知

我々が開発した「国産OSS脆弱性スキャナ Vuls 」がベースのスキャナを用いており、OSディストリビュータからまだパッチ提供されてていない脆弱性も検知可能です。競合製品と比較しても検知件数は10倍以上(OpenVASと比較)であり、漏れのない対策が可能です。また稼働中のサーバに負荷をかけません。

タスクチケット管理

脆弱性の対応状況をタスクとして管理し、優先順位付けや対応者のアサインなどが可能です。CVSSスコアやネットワークから攻撃可否などでフィルタし、一括でのタスク更新、非表示が可能です。パッチ適用後はタスクステータスが自動で適用済みとなります。

組織としての脆弱性対策

CVE-ID単位での情報共有/議論が可能です。組織内のCSIRT/SOC, 開発チーム, 運用チームが検証結果の共有や、環境を踏まえてたパッチ適用要否の相談などを集約、組織としての脆弱性対応をサポート。CSIRTは注意喚起を実施し、その後の対応を追跡可能です。

プロセス情報による優先度付け

実際に起動しているプロセスの情報を元にしたトリアージが可能です。検知した脆弱性に関連するプロセスが起動しているかやネットワークポートをListenしているかを表示します。アップデート時にプロセス再起動が必要かの事前確認、再起動忘れも検知可能です。

環境に合わせた危険度算出

NVD, JVNやOSディストリビュータが提供する脆弱性情報の一般的なスコアに加え、サーバ環境やエクスプロイトコード公開状況、対応策公開状況などの情報をを元にして、簡単に脆弱性深刻度(CVSS)の再計算が可能です。再計算することで該当サーバ環境や現状に即したより正しいスコアでの判断が可能となります。

Windows, NW機器, 大規模対応

OSS Vulsでは未サポートである、Windowsがスキャン可能です。また、CPEを登録することでNewtork機器の脆弱性も検知可能です。また大規模環境では、複数サーバを束ねるロールを用いることで、ロール単位での一括管理が可能です。

マルチクラウド・オンプレも

どのクラウドサービスでも、オンプレ環境でも動作、FutureVulsに脆弱性情報を集約することで一元管理が可能です。またメジャーなLinuxディストリビューションはサポートしており、コンテナのスキャンも可能です。

REST APIによるサービス連携

REST APIを用いれば外部サービスと連携が可能です。例えばタスクをGoogle Calendarへ同期、重要な脆弱性のSlack通知、または自社のオンプレミスのRedmineにタスクを連携するなどが可能です。REST APIは後方互換性があります(OSS Vulsは後方互換性なし)ので、自作スクリプトが動かなくなることはありません。

IDS/IPS連携

「Trend Micro Deep Security as a Service™」と連携し、管理対象サーバ群に潜む脆弱性の検知から防御ルールの生成までが自動化されます。また、検知した脆弱性がIPSで防御されているかを画面上で確認でき、さらに防御されている場合はタスクが自動でワークアラウンド済みになります。

ライブラリ脆弱性検知

GitHub Security AdvisoriesとAPI連携することでアプリケーションライブラリを一つ一つ登録することなく、アプリケーションライブラリ脆弱性とOSパッケージ脆弱性を一元的に管理することが可能です。社内のSVNやGitLabをお使いの場合も対応可能ですのでご相談ください。

AWS連携
Powered by AWS Cloud Computing

AWS環境のサーバを運用されている場合は、FutureVulsからAWSにAPI連携することで、FutureVuls画面上でサーバと脆弱性(タスク)を指定して実際にアップデートや、画面上で選択したサーバをスキャンすることが可能です。

専門家相談

オプションとして、検知した脆弱性への対応相談が可能です。対象の脆弱性情報の詳細だけではなく、対応要否や優先的に対応すべきサーバなどの対応方法についても相談が可能です。

有償DB利用

オプションとして、VulnDBなどの、有償の脆弱性データベースと組み合わせることが可能です。有償データベースは脆弱性の鮮度や網羅性が高く、より高精度な検知が可能となります。また攻撃コード有無、緩和策などの情報もご利用いただけます。

導入企業の声

Sansan株式会社

Sansanは現在、7,000社を超えるユーザに高品質なクラウドサービスを提供しています。Sansanにとって高度なセキュリティ水準を維持したシステムの安定稼働は極めて重要ですが、膨大なサーバ群の運用管理負荷が高いことが大きな課題でした。これに対する有効な解決策として導入したのが、「FutureVuls」です。導入のポイントは以下のとおりです

Point1
運用管理業務の負荷を劇的に軽減
大量の脆弱性情報の中から自社システムに関係する情報のみを抜け漏れなく検知し、当該サーバを迅速に特定可能なため、運用管理業務の負荷が劇的に軽減される。
Point2
高水準なセキュリティレベルの維持
自社環境に合わせた脆弱性深刻度による優先順位づけや対策漏れチェック機能により、検知から対応完了までを確実に実施し、高水準のセキュリティレベルを維持できる。
Point3
進化に期待できる

フィードバックや要望への対応が早い。2018/8/27の画面刷新でより使いやすくなった。開発のスピード感があり、勢いもあるので今後の進化にも期待できる。
Point4
直感的な画面

検知された脆弱性の詳細情報や対応状況、タスクチケットによる運用管理者の対応ステータスがわかりやすく画面に表示されるため、直観的に把握、操作できる。
株式会社外為どっとコム

外為どっとコムは、一般投資家を対象にインターネットを通じた店頭FXサービスを展開しています。投資家の多様なニーズや年々加速する店頭FXの処理スピードに対応し続けることはもとより、金融機関を標的とする多数のサイバー攻撃を確実に防御して顧客に高速で安定したサービスを提供するためには、システムの処理性能と耐障害性の強化に加え、非常に高いセキュリティレベルを保った運用が必要でした。

フューチャーアーキテクトは、2013年1月に外為どっとコムと共同で「外貨ネクストネオ」システムを構築して以来、本システムを対象にセキュリティコンサルティングサービスを提供しています。今回、当社が独自に開発した「FutureVuls」を導入し、管理対象サーバ群のセキュリティを強化しました。これにより、脆弱性のチェックと影響するサーバの特定が自動化され、低負荷の運用で高いセキュリティレベルを保持します。

プレスリリース

料金

導入支援オプションサービス

技術資料

お問い合わせ

より詳しく知りたい方や、利用を検討されている方は
お気軽にお問い合わせください。

メディア掲載

お知らせ