脆弱性管理機能は、New Relicの既存の30を超えるオブザーバビリティ機能に自動的に追加され、データ、ツール、およびチームのサイロを排除するという同社のビジョンに沿った機能となっています。この機能は、New Relicが検知した脆弱性シグナルとサードパーティのセキュリティシグナルをTelemetry Data Platform(TDP)に統合し、すべてのエンタープライズ・テレメトリデータを単一のツールでモニターし、管理することができます。開発、セキュリティ、および運用を担当する各チームはサイロ化されたツールを切り替えることなく、アプリケーション上のセキュリティ問題を管理することができるようになります。脆弱性管理のすべての機能は、業界をリードする、New Relicのシンプルで透明性の高いライセンスモデルの一部としてご利用いただけます。
現在、DevOpsチームはセキュリティチームとは別に作業しており、様々な評価ツールとサイロ化されたデータを使用しているため、ソフトウェアスタックの脆弱性を完全に把握できないことがあります。そのため多くの組織はアプリケーションをソースコードおよびランタイムレベルで保護することがなかなかできずにいます。たとえばセキュリティチームは、人気の高いオープンソースのロギングツール Log4jの脆弱性が発表されてから1年以上が経った現在もその重大な欠陥に対処しており、Log4j(*1)の脆弱性が検出された事例の30%で脆弱性が存在したままとなっています(*2)。こうした種類の脆弱性は、技術スタック内で見つけて識別するのが難しく、非常に広範囲に及ぶ可能性があるため、意図しない依存関係によって事業・業務にとって致命的に重要(ミッションクリティカル)なソフトウェアに影響を与えかねません。
(*1)https://nvd.nist.gov/vuln/detail/CVE-2021-44228
(*2)https://blog.qualys.com/qualys-insights/2022/03/18/qualys-study-reveals-how-enterprises-responded-to-log4shell
New Relicの脆弱性管理機能は、技術スタック全体を可視化することでこの問題を解決し、開発・運用・セキュリティチームが協働して迅速に安全性の高いソフトウェアを提供する「DevSecOps」を実践可能にするるため、ソフトウェア開発ライフサイクルのあらゆる段階で、脆弱性を特定してアプリケーションを保護できるようになります。
- New Relic Vulnerability Management(脆弱性管理)機能の主な特徴
● 追加設定不要で可視性を確保:スタック全体のリスクを評価するための継続的なランタイムソフトウェア構成分析(SCA)を可能にする即時的かつ実用的なセキュリティ情報を追加設定することなく取得できます
● 新たな脆弱性のテスト機能 (リミテッドプレビュー):IAST(インタラクティブ・アプリケーション・セキュリティ・テスト)を使用して、本番前の環境でシグネチャレスの脆弱性を検出。特許取得済みの決定論的手法を活用して脆弱性を特定し、その脆弱性が攻撃可能な状態かを検証します
● オープンなサードパーティ連携: 埋め込み型クイックスタートを使用してNew Relicのオープンエコシステムにセキュリティデータを追加するか、New RelicのセキュリティAPIを使用して任意のカスタムソースからセキュリティデータを追加することにより、スタック全体とソフトウェアライフサイクル全体のセキュリティビューを統合します
(Snyk、Lacework、GitHub Dependabot、AWS Security Hub、Aquasec Trivy等)
● リスクの自動的な優先順位付け: サービスカタログと関連付けられたソフトウェアスタック全体のセキュリティリスクを評価します
● 新たに発見された脆弱性に関するアラートの発信:コードベースに新しい脆弱性が発見された時点でSlackおよびWebhook経由で通知します
- New Relic CEO ビル・ステイプルズのコメント
アプリケーションのセキュリティの維持は、ソフトウェア開発者のワークフロー全体の中で重要な部分を占めています。オブザーバビリティのリーダーであるNew Relicは、データ駆動型アプローチを取ることで、企業の技術スタック全体のセキュリティを可視化する独自の立場を築いています。脆弱性管理機能のパブリックプレビュー期間中には多くのお客様にこの機能を検証いただきました。当社は新しい脆弱性テスト機能をリミテッドプレビューの形で導入できることを非常に嬉しく思います。
- プレビュー期間中に脆弱性管理機能を使用された日本のお客様のコメント (五十音順)
AI inside 株式会社 Infrastructure Unit / VP of SRE 三谷 辰秋氏
APMをインストールしているだけで、コンテナで利用中のライブラリの脆弱性を自動で検知し、脅威を可視化することができるため非常に有用です。セキュリティ情報をNew Relicに統合することで開発段階からみやすく、プロジェクトの優先度付けもしやすいため、DevSecOpsで利用を進めたい。
株式会社NTTドコモ サービスデザイン部 担当課長 加藤 雅俊氏
本機能メニューを選ぶだけで、脆弱性情報だけでなく対策方法までが即座に可視化され、深刻度と作業工数を踏まえた脆弱性対策の実行計画を速やかに策定できます。これにより今まで以上に効率的に脆弱性対策を推進できると考えます。
株式会社ぐるなび CTO 岩本 俊明氏
ぐるなびサービスの全稼働環境に何も手を加える事なく簡単にセキュリティリスクを可視化できるようになります。エンジニアが普段の開発ライフサイクルにセキュリティを意識できる良いきっかけになりました。
株式会社TVer サービス事業本部 プロダクトタスク 丸山 隆宏氏
複雑な開発体制において脆弱性発覚時の調査、管理が負荷となっていたが本機能により可視化が即座に行われ、工数の大幅削減ができました。
- New Relic Vulnerability Management(脆弱性管理)機能の価格
脆弱性管理機能は、2023年1月17日に米国および日本でのNew Relicのすべてのアカウントで利用可能となっています。(EU地域での一般的な利用の開始は2023年2月15日を予定)脆弱性管理機能は「Data Plus」(※)のバンドルまたは無料枠の一部として提供されます。
「無料枠」https://newrelic.com/jp/pricing
New Relicをご利用中のお客様は、現在のデータ取り込み(TDP)価格に0.10ドル/GB(=11円/GB)を上乗せすることで、任意の従量課金プランに脆弱性管理機能を追加することもできます。
(※)「Data Plus(データプラス)」のご契約が必要です。
「Data Plus」について: https://newrelic.com/jp/pricing
「Data Plus」の詳細:https://newrelic.com/jp/blog/nerdlog/data-plus-pricing
■「New Relic Vulnerabiity Management(脆弱性管理)機能」について以下をご参照ください。
https://newrelic.com/jp/platform/vulnerability-management
■ 「New Relic Vulnerabiity Management(脆弱性管理)機能」の詳細についてブログ(日本語)もご覧ください。
https://newrelic.com/jp/blog/nerdlog/vulnerability-management
■ New Relicのファクトシートやロゴ等は、以下からご確認いただけます。
https://newrelic.com/jp/about/media-assets
■New Relicについて
2008年に創業したNew Relic は、デジタルビジネスのあらゆる重要指標を観測可能にする「オブザーバビリティ(可観測性)プラットフォーム」を提供しています。デジタルビジネスを構成するアプリケーションやインフラストラクチャだけでなく、ユーザー側の顧客体験状況までをも観測可能にするため、企業はデジタルサービスの障害検知、顧客体験の低下検知、潜在的な問題やボトルネックを早期特定し解決するDevOps チームを生み出します。これにより、企業は取り組むべきデジタル変革を、計測可能な戦略へと変化させることができます。New Relicの全世界顧客数は15,000以上、Fortune 100企業の過半数で採用されており、日本でも数百社を超えるお客様のデジタル変革を支援しています。New Relicが支持されている理由は、newrelic.com/jp をご覧ください。
■オブザーバビリティ(可観測性)プラットフォーム「New Relic」について
New Relic はお客様がより完璧なソフトウェアを作成するために構築された、最も強力なクラウドベースの観測プラットフォームです。世界中のエンジニアリングチームがNew Relic を利用して、アップタイムとパフォーマンスの向上、規模と効率の向上、市場投入までの時間の短縮を実現しています。New Relic には、組織がオブザーバビリティを実現するために必要なすべての機能が含まれています。
- Telemetry Data Platform: ペタバイト規模であらゆるタイプのアプリケーションやインフラストラクチャのデータを収集、可視化することができます。これは、すべての運用データの単一で正しいソースとなるように設計されています。
- Full Stack Observability: APM、インフラストラクチャ、ログ、デジタルカスタマーエクスペリエンスにまたがるソフトウェアスタック全体を1つのコネクテッドエクスペリエンスで簡単に分析し、トラブルシューティングを行います。
- Applied Intelligence: インシデントを迅速に検出、理解、解決するための応用インテリジェンスが備わっています。
※New Relic は、New Relic, Inc.の登録商標です。
※本文書内の製品名および会社名は全て、それらの登録名義人の商標である場合があります。
将来予想に関する記述
本資料は関係情報の開示のみを目的として作成されたものであり、有価証券の取得または売付けの勧誘または申込みを構成するものではありません。本資料は、正確性を期すべく慎重に作成されていますが、完全性を保証するものではありません。また本資料の作成にあたり、当社に入手可能な第三者情報に依拠しておりますが、かかる第三者情報の実際の正確性および完全性について、当社が表明・保証するものではありません。当社は、本資料の記述に依拠したことにより生じる損害について一切の責任を負いません。本資料の情報は、事前の通知なく変更される可能性があります。本資料には将来予想に関する見通し情報が含まれます。これらの記述は、現在の見込、予測およびリスクを伴う想定(一般的な経済状況および業界または市場の状況を含みますがこれらに限定されません)に基づいており、実際の業績とは大きく異なる可能性があります。今後、新たな情報、将来の事象の発生またはその他いかなる理由があっても、当社は本資料の将来に関する記述を更新または修正する義務を負うものではありません。