アイビーシー(株) ビジネスソリューション事業本部 副本部長
兼 プロダクト事業部 事業部長
橋本 和也
■ ITOGUCHI Ver.2.0.0 が切り拓く世界
昨年のコラム「新しい形の運用管理 DX」でも触れましたが、 2025 年 10 月に、私たちは IT 運用の可視化プラットフォーム「ITOGUCHI」をリリースいたしました。そしてこの度、 2026 年 3 月に Ver2.0.0 として、待望の「脆弱性管理オプション」をリリースしました。
この新機能は、世界最高水準の脆弱性管理ソリューション「Tenable Vulnerability Management(以下 Tenable)」に対応しています(※ 2026 年夏には Tenable Cloud Security にも対応予定)。なぜ今、 IT 運用のプラットフォームが脆弱性管理と深く繋がる必要があるのか。その背景にある企業が求められるガバナンスと、疲弊する現場のリアルな課題からお話しします。
■「ブラックボックス化」したインフラと、疲弊する現場
私たちが想定しているお客様の環境は、クラウド、オンプレミス、リモートワーク端末が複雑に絡み合い、境界線が消失した「ボーダーレス」な世界です。このような環境下で、 CISO や IT 運用責任者が最も恐れるのは、自組織の「どこに、どのような弱点があるのか」が見えなくなることです。
厳しさを増す社会的要請(サプライチェーンリスク管理のトレンド)
| 項目 | 内容・背景 | 企業に求められる責任 |
| 経産省「サイバーセキュリティ経営ガイドライン」 | サプライチェーン全体での対策強化を明記。委託先や拠点の不備も「自社の責任」とされる。 | 自社のみならず、グループ拠点や海外拠点の「リスク可視化」と「統制」。 |
| 経済安全保障推進法 | 基幹インフラ事業者に対し、特定妨害行為の防止に向けた設備導入の事前審査が本格化。 | ソフトウェアや機器の「脆弱性管理(SBOM等)」の徹底と透明性。 |
| サプライチェーンの「弱点」狙い | セキュリティが甘い地方拠点や子会社を踏み台にし、本社へ侵入する攻撃の急増。 | 物理的に離れた拠点の「リアルタイムな監視」と「即時対応体制」の構築。 |
現在、脆弱性管理のデファクトスタンダードである Tenable のソリューションは、極めて高い精度で資産の脆弱性をあぶり出します。しかし、多くの現場で課題となっているのは、検出後の「解釈」と「優先順位付け」です。
数千、数万と積み上がる脆弱性リストを前に、現場は考えることを諦めてしまいます。リストのデータだけでは、その脆弱性がどの業務に影響し、誰が対応すべきかが見えにくいからです。 Excel の管理表はすぐに形骸化し、メールやチャットでの指示はログに埋もれ、結果として緊急度の高い脆弱性が数ヶ月放置される。この「運用の設計図の欠落」こそが、現場を疲弊させる真因です。
ITOGUCHI は、この「検知」と「対処」の断絶を埋めることで、脆弱性管理を「リストの消化」から「戦略的なリスクコントロール」へと進化させます。
■ MAP 機能との融合
ITOGUCHI の最大の特長は、 Tenable が検出し、数値化したリスク情報を、単なるリストではなくシステム構成図上に表現できることにあります。
一般的に脆弱性情報は、 IP アドレスやホスト名という「文字列」で管理されますが、大規模な組織において、それらを即座に「どの拠点の、どのフロアの、何の業務に使われているものなのか」と紐付けられる人は稀です。 ITOGUCHI は、 Tenable のデータを MAP 上に表示させることで、物理的、あるいは論理的な視点から「どこにリスクがあるか」を視覚化します。そうすることで、情報の解釈にかかる時間を圧倒的に短縮し、またシステムに深い知識がないメンバーでも直感的にリスクを把握し、管理に携わることが可能になります。
Tenable の VPR(Vulnerability Priority Rating)は非常に優秀ですが、それはあくまで「脆弱性そのものの危険度」に関してです。 ITOGUCHI の MAP 上で「資産の属性(ミッションクリティカルかどうか)」と併せて見ることで、「危険度が高く、かつビジネスへの影響も大きい場所」から着手するという、誰にでも認識できる優先順位付けが可能になります。
図: ITOGUCHI と Tenable の連携図
■ ITOGUCHI で実現するインシデント・ライフサイクル
脆弱性を検知し MAP で確認した、その次に来るのが ITOGUCHI の「インシデント管理機能」です。検知された脆弱性をそのまま「対応すべきタスク(インシデント)」として起票し、完了まで一気通貫で追跡できることが、組織の防御力を劇的に引き上げます。
① 「検知=即起票」によるスピード対応
Tenable で特定のスコア以上の脆弱性が発見された際、ワンクリックでインシデントチケットを発行できます。必要な情報(脆弱性の詳細、 CVSS スコア、資産の情報、修正策)はチケットとして集約され、 MAP 上の拠点情報に基づき、該当拠点の担当者へ即座にアサインを飛ばすといった運用も可能です。
② ステータスの可視化による「放置」の根絶
インシデント管理機能の最大のメリットは、「誰がボールを持っているか」が明確になることです。未着手、進行中、完了のステータスを今後の対応スケジュールと共に管理することができます。マネージャーは、 MAP を見るだけで「リスクが放置されている拠点」をリアルタイムに把握し、インシデント管理でそのステータスを管理し、フォローすることができます。
③ 過去の履歴(ナレッジ)の蓄積による組織の成長
対応の過程で行われたやり取りやパッチ適用ログは、すべてナレッジとして蓄積されます。「半年前に別拠点のサーバーで同種のアップデートを行った」といった履歴を、 MAP 上の資産から直接辿ることができるため、対応手順や対応時の注意点などをチーム全体に共有することができ、組織的な学習効果を最大化します。
図:インシデント・ライフサイクル
■ ITOGUCHI が描く「自律型運用」への道
ITOGUCHI の本質的な価値は、機能の多さではありません。「お客様がどれだけ迷わずに、正しく、素早く行動できるか」にあります。今回の連携も、単なるデータの統合ではなく、 Tenable の「診断力」に、 ITOGUCHI の「表現力(MAP)」と「実行力(インシデント管理)」を組み合わせることで、脆弱性管理を単なるチェックリストから、組織の成長を支えるための土台へと進化させるものです。
これは ITOGUCHI が目指す「運用コンソールの統合」への第一歩に過ぎません。今後は、蓄積されたインシデントデータと AI を組み合わせた「パッチ適用によるサービス影響の予測」や、 MAP 上で赤く点灯した資産に対する「自動パッチ適用ワークフローの起動」あるいは「トラフィックの自動遮断」といった、「見て、判断して、実行する」がシームレスにつながる世界を目指していきます。
私たちはこれからも、お客様のビジネスの成長を加速させるプラットフォームとして、 ITOGUCHI を進化させてまいります。
