サイバートラストの「MIRACLE Vul Hammer」は、情報システムを構成するOSやソフトウエアに脆弱性があるかどうかを調べて可視化するソフトである。Linuxやオープンソースを中心に、脆弱性情報の収集と管理、システムに対する脆弱性のスキャンと可視化などを自動化する。

MIRACLE Vul Hammerのシステム構成イメージ
(出所:サイバートラスト)
[画像のクリックで拡大表示]

 脆弱性の情報ソースとして、ベンダー各社が発信している脆弱性情報を収集するほか、各種の脆弱性情報データベース(NVDなど)を利用する。収集した脆弱性を、それぞれの脆弱性に識別子(番号)を振っているCVEの情報と突き合わせて管理する。こうして構築した脆弱性データベースは、クラウド上に置いたMIRACLE Vul Hammerの公開サーバーで管理する。

 システムに対する脆弱性のスキャンは、ユーザー企業に設置するサーバーソフト(SCANマネージャ)が実行する。監視対象のシステムにSSHでリモートログインして調査する。脆弱性を含んだバージョンのソフトを使っているか、脆弱性の修正パッチを適用しているかなど、ソフトウエアの更新状況を調査する。

 SCANマネージャのWeb管理画面を介して、脆弱性の一覧や詳細、サーバーごとの脆弱性などを把握できる。SCANマネージャは、システム監視ソフトであるZabbixのエージェント機能も備えており、Zabbixの画面上でソフトの脆弱性を把握できる。障害情報と合わせ、対応が必要な脆弱性情報を表示できる。

 MIRACLE Vul Hammerは、「システム監視のZabbixで脆弱性も管理したい」というユーザーの声を受けて開発した。ユーザーの多くは、どのLinuxに、どのパッチを適用したのか、脆弱性が残っているかを管理できていない。Linuxサーバーが乱立する中、脆弱性パッチを適用すべきLinuxのリストの作成が難しい。

 サイバートラストの試算では、10種類のオープンソースを使っている100台のサーバーにMIRACLE Vul Hammerを適用した場合、手作業での脆弱性対策に比べて5年間で約7500万円(約65%)の工数を削減できる。

MIRACLE Vul Hammerの概要
用途と機能情報システムを構成するOSやソフトウエアに脆弱性があるかどうかを調べて可視化するソフト。Linuxやオープンソースを中心に、脆弱性情報の収集と管理、システムに対する脆弱性のスキャンと可視化などを自動化する
脆弱性の情報ソースベンダー各社が発信している脆弱性情報や、各種の脆弱性情報データベース(NVDなど)を利用する。収集した脆弱性を、脆弱性に識別子(番号)を振っているCVEの情報と突合して管理する。こうして構築した脆弱性データベースを、クラウド上に置いたMIRACLE Vul Hammerの公開サーバーで管理する
システムに対する脆弱性のスキャンユーザー企業に設置するサーバーソフト(SCANマネージャ)がスキャンを実行する。監視対象のシステムにSSHでリモートログインして調査する。脆弱性を含んだバージョンのソフトを使っているか、脆弱性の修正パッチを適用しているかなど、ソフトウエアの更新状況を調査する
管理コンソールSCANマネージャのWeb管理画面を介して、脆弱性の一覧や詳細、サーバーごとの脆弱性などを把握できる
Zabbix連携SCANマネージャは、システム監視ソフトであるZabbixのエージェント機能も備える。Zabbixの画面上でソフトの脆弱性を把握できる。障害情報と合わせ、対応が必要な脆弱性情報を表示できる
価格(税別)監視対象10台の最小構成時に年額32万4000円、監視対象1000台で1215万円、など
発表日2021年3月25日
提供開始日2021年4月14日