郷間佳市郎 （Kyoma Keiichiro）
京セラコミュニケーションシステム　セキュリティ事業部 技術部長
古くから通信事業者系ネットワークのセキュリティ設計に携わるなど、豊富な知識と経験を持つ。NetWorld＋Interop 2004 Tokyoでは、NOC（Network Operations Center）チームとして参加、コアメンバーとして全体のセキュリティ運営に従事した。


第4回（最終回）・大規模システムに対応する脆弱性管理
Point1>>
大規模システムの脆弱性管理には、スケーラビリティや一元管理など、これまでのシステムにはない機能が必要となる。
Point2>>
スケーラビリティを確保するには、診断機能と管理機能を分離する構成をとる。また、権限の区分も必要。
Point3>>
システムの脆弱性に対する認識を共有化して理解を深めるために、危険度の数値化というアプローチが進められている。
Point4>>
脆弱性診断（VA）の管理の部分が重視されるようになり、脆弱性管理（VM）へ進化してきている。

大規模システム特有の
ニーズ
脆弱性管理システムは、脆弱性の診断結果を継続的に蓄積することによって、脆弱性の視点からネットワーク全体の安全を管理するためのソリューションである。セキュリティに関するコンプライアンスを考える場合、重要なソリューションとして注目される。
たとえば、米国では連邦政府がセキュリティ管理のフレームワーク作りを目指して「FISMA」（連邦情報セキュリティ管理法）を制定したが、その準拠状況を管理するソリューションとして、脆弱性管理システムが採用されている。
このような利用シーンにおいては、システムの一部分ではなく、全体を網羅する脆弱性管理が不可欠になる。つまり、大規模システムに対応できる「スケーラビリティ」や一元的な管理を実現する、これまでにない機能が必要となってくる。
今回は、最新の脆弱性管理システムが、大規模環境に対応するためにどのような仕組みを実装しているのか紹介したい。

従来の脆弱性診断製品でも、大規模環境にまったく対応できなかったわけではない。しかし、実装の場面では、規模の拡大に応じた運用工数の増加が必要となっていた。この工数増加を抑え、いかにして少ない運用工数で脆弱性診断を実現するのか。次に、その代表的な例を説明したい。