昨今、サイバー攻撃は急速に増加しており、システムの脆弱性に関する情報も日々大量に報告されています。このような状況下で、システム運用においては脆弱性への漏れのない迅速な対応が、これまで以上に重要となっています。

「Senju Family 2025」では、セキュリティ部門が管理するシステム脆弱性情報と、システム運用部門が管理する構成情報との自動突合機能を強化しました（図1）。構成品目辞書¹と構成情報をあらかじめ関連付けて、脆弱性情報と自動で突合します。これにより、管理対象システムの構成内にセキュリティ対策が必要な機器やソフトウェアが存在する場合、その管理担当者に自動で通知が行われます。その結果、担当者による迅速な対応が可能となり、より安全で安心なシステム運用を支援します。

さらに、システムを利用するエンドユーザー向けポータル機能を充実させ、ユーザーの利便性を向上しました。ユーザーは問い合わせや申請時に、窓口がわからなかったり、必要な資料が把握できずに手間がかかったりすることがありますが、このポータル機能により必要な情報へスムーズにアクセスできるようになります。申請を受ける側も誤った申請による手戻りが減少し、運用業務の効率化にも寄与します（図2）。

（図1）脆弱性情報・構成品目辞書・構成情報の自動突合と担当者への自動通知のフロー

（図2）エンドユーザー向けポータル機能による申請画面カスタマイズ例

「Senju Family 2025」におけるツール別の主な強化ポイントは以下の通りです（表1）。

表1：各ツールで強化したポイント

NRIは今後も、お客さまのシステム運用の安全性と利便性の向上に貢献すべく、製品の開発・改良に努めていきます。

 

1. 1構成品目辞書：ハードウェアやソフトウェアを、統一された形式で識別するための名称をまとめた辞書です。これにより、異なるツールやデータベース間で情報を正確に連携させることが可能になります。
2. 2NVD（National Vulnerability Database）：米国国立標準技術研究所（NIST）が運営するセキュリティ脆弱性に関するデータベースです。
3. 3JVN（Japan Vulnerability Notes）：JPCERTコーディネーションセンターと情報処理推進機構（IPA）が運営する日本国内向けの脆弱性情報ポータルサイトです。