シスコは6月末、米Kenna Securityの買収を完了した。Kenna社が持つリスクベースの脆弱性管理技術とCisco SecureXを統合する。

シスコは6月末、米Kenna Securityの買収を完了した。シスコでセキュリティビジネスグループ担当SVP兼GMを務めるGee Rittenhouse氏によると、シスコはKenna社が持つリスクベースの脆弱性管理技術とCisco SecureXプラットフォームの統合を「直ちに」開始するという。

これはつまり、シスコのセキュリティ製品を利用している顧客は、利用している製品に年末までに新機能が搭載されることを当てにできるということになる。

Rittenhouse氏とKenna Security社の前CEO、Karim Toubba氏はSDxCentralの取材に応じ、Kenna製品がシスコのセキュリティ戦略にどのようにマッチするのか、Toubba氏が言うところの「リスクの観点から」顧客のインフラを見て、脆弱性管理を優先することがなぜセキュリティチーム、またITチームにとっても重要なのかについて話し合った。

Kenna Security社のリスクベースの脆弱性管理

Kenna Security社は約10年前にリスクベースの脆弱性管理を最初に開発した。同社のプラットフォームはリアルタイムの脅威インテリジェンスや悪用インテリジェンスを活用し、企業の脆弱性を優先順位付けしてリスクマネジメントを改善するものだ。これは2つのチームの緊張関係を緩和するものだった。セキュリティ専門家に対してはどの脅威が最も悪用される可能性が高いか――つまり、チームがどの脅威を最初に軽減すべきか――を知らせ、ITチームには、何にいつパッチを当てるべきかを正確に知らせることができたためだ。

これは重要なことだ――というのも、企業が持つセキュリティツールが発見する脆弱性の数は軽減できる数をはるかに超えており、その大半は実際に脅威となるものではないためだ、とToubba氏は言う。「当社の最大手のお客様は、技術を活用してこれまでに約2億件以上の脆弱性と所見を数え上げています」と氏。「ですから、企業がこれらの問題をすべて解決できるはずがないことは、当初からはっきりしていました」

Toubba氏の補足によると、実のところ、企業の脆弱性のうち実際に攻撃の影響を受けるのは約3%から5%にすぎないという。「最も大事なのは精度です」と氏は言う。

現在、同社のプラットフォームはカナダロイヤル銀行、HSBC、米Quest Diagnostics、マテル、デロイトなどの顧客向けに1,400万件以上の資産を保護し、127億件以上の脆弱性を管理している。さらに、業界の主要な脆弱性評価プラットフォーム全てと統合されている。

なぜシスコはKenna社を買収したのか

Rittenhouse氏の補足によると、シスコがKenna社を買収したのは、顧客の環境におけるセキュリティの複雑さを軽減するというセキュリティ戦略を進めるためだという。

「私たちは普段、セキュリティをシンプル化するための統合コンポーネントや自動化コンポーネントに注力しています。ですが、可視化が可能になり、可視化がリアルタイムでできるようになってくれば、環境にはさらに複雑さが増すことも認識しています」と氏は説明する。「潜在的な脆弱性や潜在的な攻撃経路について受け取る情報の量というのは、自動化側の脅威やアラーム、イベントの数と同様に圧倒的です。このような事態が起こる前に、先手を打って企業の全体的なリスクを減らす手助けをしたいのです」

これに対するシスコの解決策は、もちろんSecureXプラットフォームだ。Cisco Talosの脅威インテリジェンスに加え、シスコが持つネットワーク、エンドポイント、クラウド、アプリケーションの各セキュリティ製品を統合したクラウドネイティブなプラットフォームとなっている。また、調査用にサードパーティー製セキュリティツールにも接続でき、XDR（Extended Detection and Response）機能も提供する。

Kenna社の技術をSecureXに統合することで、顧客はセキュリティ管理や脅威対応のパフォーマンスに関するスコアカードを作成することができるようになる。

「SecureXをご利用のお客様は、統合が完了すれば、SecureXを通じて脆弱性データを把握して自社の資産に取り込み、そうした脆弱性のリスクを把握し、最終的にはそのデータを使ってセキュリティ運用担当者の対応を改善できるというメリットが得られます」とToubba氏は言う。「Kenna社のお客様は引き続きプラットフォームをご利用いただけますし、SecureXプラットフォームの追加をするアップセルも可能です。Kennaには無くてSecureXにはあるものはたくさんありますが、その1つは自動化とオーケストレーションの能力です」

プレミアムSecureX、まもなく登場か

シスコによると、発売から1年が経過した現在、7,000社以上の企業がSecureXを利用しており、現在ではすべてのCiscoセキュリティ製品にSecureXが同梱されているという。一方、今年のRSAセキュリティカンファレンス前のニュースで、シスコ幹部はSecureXの「プレミアムバージョン」の登場を予告した。このバージョンには追加のセキュリティ機能が搭載される予定で、そのうちのいくつかはKenna Security社から提供される可能性が高い。

「Kennaはプレミアムバージョンの一部を担うと思われますが、フリーミアムバージョンにKennaの要素の一部を含めることになるかもしれません。特に、シンプル化の方針に沿ったものがそうです。その後、オーケストレーション、リスクの優先順位付け、可視性に関する多くの機能をプレミアムバージョンに収めることになるでしょう」とRittenhouse氏は話す。「現在はまだ、そうした詳細を詰めているところです」

https://www.sdxcentral.com/articles/news/cisco-kenna-security-execs-talk-post-acquisition-plans/2021/07/