今回は、脆弱性管理ツール「Qualys(クオリス)」という製品についてご紹介します。
この記事を読んで、脆弱性管理という分野において興味を持っていただければと思います。

情報セキュリティの現状

情報セキュリティ被害について

まず、本題に入る前に、現状の情報セキュリティ被害をもたらすものにどのようなものがあるかについて、いくつかご紹介します。

• ランサムウェアによる被害
• サプライチェーンの弱点を悪用した攻撃
• 内部不正による情報漏えいなどの被害
• 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
• 不注意による情報漏えいなどの被害

上記は長年続いている脅威となり、年々攻撃が巧妙化している一方で、従来の攻撃手口も多く、基本的な対策の重要性は変わりません。

この中でも特に、「ランサムウェア攻撃」・「サプライチェーン攻撃」・「ゼロディ攻撃」といった被害が多いため、最新の動向に注意しつつ、適切な対策を実施することが重要です。
なお、「内部不正による情報漏えいなどの被害」や「不注意による情報漏えいなどの被害」といった、人に起因する情報漏えい被害も上昇しています。

このように、IT技術の進歩は進んでいるものの、情報セキュリティの被害については減少することなく、多く報告されているため、常に対策をすることが重要となります。

それでは、実際に脆弱性管理ツール「Qualys」について見ていきましょう。

Qualysってどんな製品

1. Qualys（クオリス）とは

Qualysは各種ITシステムの脆弱性を発見・管理するためのクラウドソリューションです。

セキュリティ脆弱性スキャンの機能が、クラウドソリューションとして提供され、自社のインターネットに面したITシステムのセキュリティ脆弱性の検査・洗い出しが対応可能となります。

また、専用のWebポータルへのアクセスによって、自社のITシステムに潜在するセキュリティ脆弱性情報を集中管理することができ、お客様の効率的なシステム管理を実現します。

【Qualysを使用した脆弱性管理イメージ】

次にQualysの主要製品についてご紹介いたします。
(なお、Qualysの製品ラインナップは数多く存在しているため、主要製品のご紹介となります)

2. Qualys製品紹介（主要製品のご紹介）

• Qualys VMDR (Vulnerability Management, Detection, and Response)

クラウドベースのセキュリティプラットフォームを提供するQualys社の統合セキュリティソリューションです。
IT資産の検出から脆弱性の評価、優先順位付け、修正対応までを一元的かつ自動化して行う機能を備えています。

• Qualys Cloud Agent

エンドポイント(サーバー、クラウドインスタンスなど)でのセキュリティデータをリアルタイムで収集するためのエージェント型ソフトウェアです。
エージェントは常に動作し、システム状態や脆弱性、コンプライアンスの状態を継続的に監視・報告します。

• Qualys WAS (Web Application Scanning)

ウェブアプリケーションのセキュリティを向上させるために設計された自動化された脆弱性スキャンソリューションです。
OWASP Top 10やその他の一般的なセキュリティ脅威に対応し、ウェブアプリケーションやAPIを保護します。

加えて、Qualys製品自体を集中管理するといった、一元的に管理するものとして、「Qualys Cloud Platform」という製品も提供されています。

• Qualys Cloud Platform

クラウドベースで提供される包括的なセキュリティおよびコンプライアンス管理のためのプラットフォームです。
このプラットフォームは、脆弱性管理、脅威検出、リスク評価、パッチ管理、セキュリティ監視、コンプライアンス監査などの機能を一元的に提供し、企業のITインフラ、エンドポイント、クラウド環境に対して強力なセキュリティ保護を提供します。

また、Qualys製品は他サービスとの連携機能も有しており、さまざまなセキュリティツールやIT運用管理ツールと連携することで、より効果的なセキュリティ管理を実現できます。
以下に、連携が可能な他サービスの一部をご紹介します。

3. 他サービスとの連携

• QualysとITSM (IT Service Management) ツールとの連携

・ITSMツール (例: ServiceNow, BMC Remedy, Cherwell) と連携することで、脆弱性管理、インシデント対応、問題解決などを自動化し、プロセスを効率化します。

・Qualys VMDRやQualys Patch Management(パッチ管理)で、発見した脆弱性に基づき、ITSMツールでチケットを自動的に作成し、修正作業をチームに割り当てることができます。

・サービスデスクのワークフローに脆弱性管理を統合し、対応のトラッキングやレポート作成を簡素化します。

• Qualysとクラウドセキュリティプラットフォームとの連携

・クラウドセキュリティプラットフォーム (例: AWS Security Hub、 Azure Security Center) と連携して、クラウドインフラのセキュリティ脆弱性やリスクを統合管理できます。
※AWS Security Hubは、AWS環境内でのセキュリティ状態を中央集権的に確認できるダッシュボードを提供します。

・Qualys Cloud Inventory(インベントリ管理)やQualys VMDRでのクラウドインフラのスキャン結果をこれらのプラットフォームに統合し、脆弱性やリスクを一元的に可視化します。

・クラウドのセキュリティ脆弱性やインシデント情報を自動的にセキュリティダッシュボードで通知し、クラウド環境全体のセキュリティ状態を強化します。

• Qualysとファイアウォール、ネットワーク機器との連携

・ファイアウォール、IDS/IPS (Intrusion Detection/Prevention Systems) などのネットワークセキュリティツールと連携することで、ネットワーク全体のセキュリティを向上させることができます。

・Qualys VMDRやQualys WASで発見された脆弱性情報や攻撃経路を、ネットワーク機器に反映させることができます。

・ネットワークセキュリティ機器 (例えば、Palo Alto NetworksやFortinet) にQualysからのセキュリティアラートやインシデント情報を送信し、脅威に対して迅速に対応します。

まとめ

今回は脆弱性管理ツールとして「Qualys」という製品の紹介をしました。

記事を書くにあたり、学習や検証環境での操作を実際に行いましたが、大半の資料や画面が英語表記であったため、理解するのに時間を費やしましたが、製品に対する自分自身の理解が深まりました。
ただ、実際に操作をして感じたのは、想像していたよりも操作性が良いということで、まさに「習うより慣れよ」といったところでしょうか。

冒頭にもお伝えしたとおり、脆弱性対応に終わりはありませんので、引き続き脆弱性に対する意識を持つとともに、今回の紹介で少しでも「Qualys」に興味を持っていただければと思います。

また、今回ご紹介した「Qualys」については、システムサポートでも導入支援をいたしておりますので、お気軽にご相談をお待ちしております。

なお、今回は、入門編ということで概要を中心に記事を書きましたが、今後は製品機能のご紹介などをしていきますので、お楽しみに。