厳しいセキュリティガイドラインに、Tenable.io
（現：Tenable Vulnerability Management）による脆弱性管理で対応

1．厳しいガイドラインに沿った脆弱性管理の運用が、Tenable.ioを導入することで実現
2．わかりやすいインターフェースとSaaS提供という利便性により、運用工数を大幅削減
3．少数精鋭で多忙な中でも、精度の高い効率的な脆弱性管理体制を確立

ユニゾン・キャピタル株式会社は、主にヘルスケア、コンシューマーおよびB2Bサービス分野の中堅企業への投資を行う、プライベート・エクイティ・ファンド運営会社です。創業以来20年以上にわたる投資活動を通じて培ったノウハウやネットワークを駆使し、投資先企業の成長をサポート。それらは経営チームの強化、成長戦略の策定とその遂行に必要な資金・リソースの提供、デジタルを活用した企業改革などと多岐にわたります。

韓国、シンガポールにも活動拠点がある同社では、別の子会社も合わせて4つのオフィスの情報システムを、2名のIT責任者で管理しています。セキュリティに関してはそれぞれの国に金融ガイドラインがありますが、同社は最も厳しい基準を持つシンガポールのガイドラインに沿って運用を行っています。

2016年から日常的な脆弱性管理を開始したのもその一環です。オンプレミスで構築した管理アプリケーションで、脆弱性検知スキャナーである「Nessus」の情報を見ることができる脆弱性管理ツールを構築しました。しかし、これは使い勝手に問題がありました。オンプレミスのシステムだったため、サーバ管理やツールのメンテンナンス作業が必要だったことと、管理アプリケーションのインターフェースがわかりにくく、情報の確認に時間を要しました。さらに、夜間処理として設定していた、Nessusと管理アプリケーション間の連携処理もうまくいかず、ユニゾン・キャピタル株式会社 IT・ファシリティ 藤原和幸氏としては、夜間処理の成否を常に気にかける状況で、自宅からのリモート対応なども発生していました。

そうした中、アシストが脆弱性管理製品「Tenable.io」を紹介しました。Nessusをベースとした上位製品であることは既に知っていたため好感触を抱き、数台のWindowsサーバを対象に早速PoCを実施。環境構築はアシストだけではなくTenable社のエンジニアもサポートしたため、極めて順調に進みました。検証の結果、同社はTenable.ioの採用を決定します。その理由を藤原氏は次のように語ります。

藤原 和幸 氏

藤原氏 　インターフェースのデザイン性が高くてわかりやすく、使いやすいのがまず印象的でした。最も重視したのは操作性ですが、スキャン性能と脆弱性を検出できる対象製品の幅も評価しました。以前の脆弱性管理ツールではESXのようなミドルウェアは、Nessusでは標準対応していましたが、管理アプリケーションの方でオプション対応だったのです。Tenable.ioにすることで、サーバ群のみならず、ネットワーク機器やミドルウェアまでカバーできるようになるのが良いと思いました。さらに、クラウドで提供されるのも、サーバ管理から解放されるので喜ばしかったです。この機会に他社製品も比較検討してみましたが、上記の要件でTenable.io以上のものは見つかりませんでした。

この時点で、既存の管理アプリケーションの保守契約はまだ残っていましたが、契約期間満了を待たずに、Tenable.ioへのリプレースを決定しました。

現在、同社の仮想化基盤にNessusをスキャナーとして配置し、サーバ群をはじめ約60の脆弱性検出対象をTenable.ioによりエージェントレスで管理しています。週に1回、自動スキャニングを行い、レポートをチェックして対応に当たっています。Tenable.ioでは、共通脆弱性評価システムである「CVSS」と、実際に攻撃を受けやすい脆弱性かどうかといった点などを観点に加えた、Tenable社独自のスコアの表示ができますが、藤原氏は高く出た値を見て対応に当たるといいます。大抵Tenable独自スコアの方が高く出る傾向にあり、より信頼できるスコアと評価しています。ユニゾン・キャピタル株式会社 IT・ファシリティ 木下浩一氏は、Tenable.ioの導入効果を次のように語ります。

藤原氏はアシストのサポートに関してこう語ります。

藤原氏 　2021年5月からアシストのサポートセンターにTenable.ioの質問ができるようになったのですが、回数を気にすることなく気軽に質問でき、また細かい内容にも丁寧に答えてもらってとても助かっています。

今後、同社では社員約50名の業務用端末であるPCも脆弱性検出対象に含めることも検討しています。現在、こちらについてはWSUSで十分なアップデート管理を行えていますが、より厳密かつ包括的に脆弱性管理を遂行可能なタイミングで移行する予定です。

長年スキャナーとしてNessusを利用し、Tenable.ioを使い始めた同社にはわかったことがあるといいます。

藤原氏 　SaaS提供されるTenable.ioを使ってみて気づいたのは、クラウドであるため外側からも脆弱性検出が行えることです。攻撃者的な視点で、どれほど“ドア”が開いているかをチェックできることは脆弱性管理上有益なことで、これからTenable.ioを検討するという方には利用をお勧めします。

少数精鋭で多忙な中でも、金融機関ならではの厳しいセキュリティ基準を満たさなければならないユニゾン・キャピタル。同社のセキュリティ対策でTenable.ioが担う役割は、ますます重大になっていきます。

本事例をまとめたPDF資料を今すぐダウンロードいただけます。印刷や社内共有等にご活用ください。

※お客様情報は取材時の内容に基づくものです。