Search

脆弱性スキャンの精度評価には、シックスシグマ手法が適しています。 高精度の結果を得るには、すべての行程が適切に処理されるべきです。スキャン数と品質レベルを時間の経過で比較することで、スキャン数の増加による脆弱性管理システムの信頼度を評価できます

Qualys クラウドプラットフォームを例に説明します。 2012 年から 2013 年半ばまでの 18 か月間に実行したセキュリティとコンプライアンスのスキャン回数は 10 億回を超え、その内の 5 億回以上が脆弱性スキャンでした(下記グラフ参照):

Qualys の脆弱性スキャン数
(2012 ~ 2013 年)

QualysGuard Vulnerability Scans in 2012-2013 Chart

下記グラフを見ればわかるように、月あたりの脆弱性スキャン数が 2 倍になっても、Qualys はシックスシグマレベルを超える精度を保ちました:

Qualys のスキャン精度は
常にシックスシグマレベル以上

Six Sigma Chart

Qualys は、最適な状態に調整したビジネスプロセスとクラウドテクノロジーを組み合わせ、脆弱性スキャンプロセスの各ステップで問題点を予測して回避することで、シックスシグマレベルを超えるスキャン精度を実現しています:


潜在する問題 Qualys の対策

スキャナが正しく設定されていない

脆弱性スキャナは、ソフトウェア、データベース、ネットワークテクノロジが複雑に組み合わさっており、これらが常に連動する必要があります

Qualys は、完全にクラウドベースのプラットフォームを採用し、、高度に最適化することで、複雑なネットワークにも対応できます。 クラウドプラットフォームは、世界各地のデータセンターにあり、専門技術者により 24 時間 365 日管理されています。お客様はサーバや、データベース、ソフトウェアの購入や設定、管理から解放されます

実態にそぐわないデバイスのスキャン

インターネット側に面するネットワークシステムを企業ネットワークからスキャンした場合、攻撃する側から見える内容と異なる場合があります

Qualys は、リモート管理されたアプライアンスによる内部スキャンに加え、インターネットに面したネットワークデバイスのインターネットベースのスキャンを提供します。インターネットや、企業ネットワーク、クラウドにあるシステム完全に管理できます

デバイスのクラッシュ

スキャンの影響を受けやすいハードウェアや OS で構成されているデバイスがあります。 このようなデバイスを無理にスキャンすると、デバイス自体が機能しなくなる場合があります

Qualys では、デバイスの反応に合わせてスキャンを自動調整し、デバイスの過負荷状態を回避しています

デバイス OS が正しく認識されない

特殊な設定のデバイス(特にアプライアンス)では、識別を間違えることがあります

Qualys では、認識アルゴリズムのチューニングに 10 年以上の歳月を費やし、このアルゴリズムを継続して更新することで、新しいデバイスや OS に対応しています

デバイスでのサービスのクラッシュ

スキャン後、デバイス自体は稼動していても、ネットワークサービスが機能しなくなる場合があります

Qualys では、デバイスで検出した OS に合わせてスキャンレベルを柔軟に調整し、サービスの過負荷を回避しています

検出漏れ

最新の状態にないスキャナでは、潜在的なリスクを見逃す場合があります

Qualys は、新種の脅威や進化した脅威に対応するため、KnowledgeBase の脆弱性定義を常に更新しています。 これにより、世界中で発見される新たな脆弱性情報の恩恵を速やか享受できます

誤検出

適切にチューニングされていないスキャナや脆弱性定義が不正確なスキャナを利用すると、本来のリスクとは異なる問題を示す場合があります

Qualys は、すべての脆弱性定義を配布前と配布期間中に自動でテストし、定義が最新であることを確認しています。 また、ユーザが脆弱性定義の訂正が必要と判断した際に、その定義にフラグを設定できます。 こうしたリクエストは、世界各地の Qualys の技術者チームが内容をすぐに調査し、通常 72 時間以内(ほとんどは同日)に解決します

The Bottom Line

Qualys では、脆弱性を特定するだけにとどまりません。脆弱性対策に必要なパッチのダウンロード情報や適用すべき更新情報も提供しています。 このようなパッチ主導型のアプローチにより、対処すべき問題の優先順位付けが可能です。これにより、大量のリストを際限なく確認する作業から解放されます

Qualys が実現するシックスシグマ精度の効果は、カスタマサポートへの問い合わせ件数の少なさにそのまま現れています 下記グラフが示す通り、実行されたスキャン数が 2 倍になっても、ユーザごとの平均問い合わせ件数は常に低い水準です:

脆弱性スキャン数

ユーザごとの問い合わせ件数

QualysGuard Vulnerability Scans in 2012-2013 Chart

Qualys の高い精度により、お客様のIT、セキュリティ、コンプライアンスチームは一番大事なリスク軽減に労力を効率よく集中できます。 Qualys は単純なリスク検知を提供するだけではありません。この脆弱性管理を達成できるのが、Qualys だけです

Qualys クラウドプラットフォーム

と セキュリティとコンプライアンスのための統合アプリケーションスイート


Qualys ソリューションはセキュリティ対策の必要に合わせて、アラカルトでも購入できます
インストールやメンテナンスは不要です

Qualys ソリューション
Qualys コミュニティ
Free Trial & Tools
無料体験

Nothing to install!

03-6860-8296