[新製品・サービス]
システム性能監視ツール「New Relic」でソフトウェアの脆弱性管理が可能に
2023年2月9日(木)日川 佳三(IT Leaders編集部)
米New Relicの日本法人は2023年2月9日、クラウド型システム性能監視ツール「New Relic」の新機能として、脆弱性管理機能「New Relic Vulnerability Management」を提供開始した。既存のアプリケーション性能管理(APM)機能を用いて脆弱性も管理できるようにした。アプリケーションが利用しているソフトウェアライブラリの脆弱性を脆弱性データベースと突き合わせて検出する。他の脆弱性管理ツールで管理しているデータもNew Relic上に統合して一元的に可視化できる。
New Relicの「New Relic」は、クラウド型システム性能監視ツールである。監視対象のシステムやアプリケーションからデータを収集して可視化する。最近のリリースで、ログデータを機械学習して外れ値を検出可能にするなど、AI分析機能を強化している(関連記事:システム性能監視ツール「New Relic One」がAI分析を強化、ログデータを分析対象に追加)。
画面1:脆弱性管理機能「New Relic Vulnerability Management」の画面(出典:New Relic)拡大画像表示
今回、新機能として、ソフトウェアの脆弱性管理機能「New Relic Vulnerability Management」を追加した。New Relicが備える既存のアプリケーション性能管理(APM)機能を用いてアプリケーションのソフトウェア構成データを収集し、アプリケーションが利用しているライブラリの脆弱性を脆弱性データベースと突き合わせて検出する。追加設定なしで利用できる(画面1)。
他の脆弱性管理ツールで管理しているデータもNew Relic上に統合して一元的に可視化できる。外部ツールのデータを含めて同社の「Telemetry Data Platform」(監視データを1カ所に集める製品)に統合可能である。
同社によると、一般にDevOpsチームとセキュリティチームは独立しており、複数の評価ツールとチーム個別のデータを使って脆弱性を監視・管理している。そのため、ソフトウェアの脆弱性を完全には把握できていないケースがあるという。「例えば、報告から1年以上が経過した今でも、ログ管理ライブラリであるLog4jの脆弱性に対処しているのが実態である」(同社)。
New Relicの脆弱性管理機能を使うと、技術スタック全体を可視化することにより、開発チームとセキュリティチームが分断されている問題を解決するとしている。DevSecOpsを実現できるように、ソフトウェア開発工程の全段階で脆弱性を特定できるようにするとしている。
