アイビーシー(株) ビジネスソリューション事業本部 副本部長
兼 プロダクト事業部 事業部長
橋本和也
2026 年 6 月、国内最大級のネットワークイベント「Interop Tokyo 2026」が今年も幕張メッセで開催され、私たち IBC もブース出展を行いました。
【 IBC ブース】
(開演前。早く行き過ぎた私・・。)
【 Shownet 環境を当社製品が監視!】
会場は最新の技術トレンドを求める多くのプロフェッショナルの皆さんで熱気に満ちていましたが、その中でも目を引いたのは、 SCS 評価制度、所謂「サプライチェーン強化に向けたセキュリティ対策評価制度」に関するメッセージを掲げたブースが多かったことです。
経済安全保障推進法の本格化や、サイバーセキュリティ経営ガイドラインによるサプライチェーン全体での統制要求(委託先や海外拠点の不備も自社責任とされるトレンド)は、企業の IT 部門に対しても、かつてないレベルの「透明性」と「ガバナンス」を求めている現状を表すものだと再認識しました。
厳しさを増す社会的要請(サプライチェーンリスク管理のトレンド)
| 項目 | 内容・背景 | 企業に求められる責任 |
| 経産省「サイバーセキュリティ経営ガイドライン」 | サプライチェーン全体での対策強化を明記。委託先や拠点の不備も「自社の責任」とされる。 | 自社のみならず、グループ拠点や海外拠点の「リスク可視化」と「統制」。 |
| 経済安全保障推進法 | 基幹インフラ事業者に対し、特定妨害行為の防止に向けた設備導入の事前審査が本格化。 | ソフトウェアや機器の「脆弱性管理(SBOM等)」の徹底と透明性。 |
| サプライチェーンの「弱点」狙い | セキュリティが甘い地方拠点や子会社を踏み台にし、本社へ侵入する攻撃の急増。 | 物理的に離れた拠点の「リアルタイムな監視」と「即時対応体制」の構築。 |
■当事者として挑む、 SBOM と脆弱性管理のリアル
サプライチェーンリスクへの対応を語る上で、私たちがお客様にソリューションを提案する前提として、まず「私たち自身が徹底的な当事者であること」が不可欠だと考えています。
複雑化する IT 環境やソフトウェアの依存関係において、「どこに、どのような弱点があるのか」を完全に見える化することは容易ではありません。しかし、 IBC では自社プロダクトの開発・運用プロセスにおいて、以下の取り組みを日々実践しています。
・ SBOM (ソフトウェア部品表)の運用徹底
自社で開発するソフトウェアに含まれるオープンソースや外部コンポーネントをすべて可視化し、潜在的なリスクを徹底的に管理しています 。
・ソースコードの脆弱性チェック
開発コードに対して、日々自動化された脆弱性スキャンを実行。セキュリティ上の欠陥が「手戻り」や「潜在的なバグ」となる前に、開発段階で検知・修正するサイクルを回しています。
・ CNAPP (クラウドネイティブアプリケーション保護プラットフォーム)領域の堅牢化
クラウドインフラの構成エラーやコンテナの脆弱性を捉えるため、脆弱性管理ソリューションである「Tenable」を活用し、インフラとアプリケーションの両面から、本番環境の安全性を常に評価しています。
これらはすべて、私たちがお客様のインフラを守るためのプラットフォームを創り、届ける立場としての「責任」であり、自社の運用のサステナビリティ(持続可能性)を担保するためのベースとなっています。
しかしながら、当事者として運用するのは本当に大変です。 ITOGUCHI リリース前の CNAPP 領域のチェックは、想定以上に沢山の指摘を受け、かなりの変更を余儀なくされました(そのおかげで堅牢になった)。
現在も日々発生する脆弱性をつぶしていく作業を行っており、終わりのない戦いを続けています。
■インフラ運用に突き付けられる現実
事業者である私たちが続けているこの終わりのない戦いは、今やあらゆる企業の情報システム部門にとっても避けて通れない要件となっています。しかし、どんなに優れたセキュリティツールを導入して高い精度でリスクを検知しても、それを運用するインフラの「土台」が脆ければ、最終的に対応の放置が起きてしまうのが現実です。
Interop の会場でお客様とお話しして痛感したのは、多くの現場が「構成管理・資産管理の形骸化」によって、インフラの『今』を調べるだけで膨大な時間を要しているという実態でした。
前回のコラムでも触れた通り、現代のクラウドインフラは「壊れる」より、設定を「間違える」ことの方が起きやすい構造をしています。マルチクラウドや外部ベンダーへの委託が進んだ結果、手動の Excel 台帳は瞬時に陳腐化し、現実のインフラとの間に必ず「ズレ」が生じます。
ベースとなる構成管理データが不透明なまま、 Tenable などで高精度なスキャンをかけるとどうなるでしょうか。現場には、どの業務に使われているかも分からない「大量の文字列リスト(大量のアラート)」が届くだけになり、現場は思考停止に陥ります。結果として、深刻なリスクがメールのログに埋もれて数ヶ月間も「放置」されるという、最も危険なガバナンス不備を構造的に生み出してしまうのです。
これからの IT インフラに必要なのは、ただリスクを検知することではありません。「構成管理・資産管理のデータを常に最新に保ち、検知したリスクがビジネスに与える影響度を即座に判断できる構造」へ変えることにあります 。
■ ITOGUCHI × Tenable 資産データとリスクを融合する MAP
この「資産管理の形骸化」と「脆弱性対策の遅延」という断絶を埋め、運用のコンテキストを大きく転換するために生まれたのが、 ITOGUCHI に搭載された「脆弱性管理オプション」です 。
ITOGUCHI はパブリッククラウドやオンプレミスから資産データを自動収集し、「常に最新の正解」を MAP (システム構成図)として自動で描き出します。この自動化された構成管理の土台の上に Tenable のリスク情報を掛け合わせることで、サプライチェーンリスクへの対応力を劇的に引き上げます。
図: ITOGUCHI と Tenable の連携図
・資産管理とリスク管理の融合
Tenable が検知したリスク情報を、自動生成された MAP 上の「どの拠点の、どの業務サーバーか」という物理的・論理的な位置にダイレクトにマッピングし、専門知識が浅いメンバーやマネジメント層でも、リスクの所在と影響範囲を一瞬で空間的に把握できるようにします。
・資産属性を掛け合わせた「本当の優先順位付け」
Tenable の持つ「脆弱性そのものの危険度( VPR スコア)」に、 ITOGUCHI の構成管理の情報として「資産の属性(システムの重要度)」を掛け合わせます。これにより「危険度が高くかつビジネスへの影響も大きい場所」が自動的に浮き彫りになり、現場は優先順位を迷うことなく最速で致命的なリスクを潰すことができます。
・インシデント・ライフサイクルによる「放置」の撲滅
検知したリスクを即座にタスク(チケット)として起票し、誰が対応中で、どの資産の対応が滞っているかを MAP 上で追跡します。脆弱性がメールやチャットのログに埋もれて数ヶ月放置される運用エラーを構造的に防ぎます。
■サステナブルなリスク管理へ
かつて初期の ITOGUCHI 開発時に、「一言で言うとこのツールは何?」と聞かれ、私が「コミュニケーションツールです」と答えて「はて?」という顔をされたエピソードがあります。しかし、複雑化するサプライチェーンリスクやマルチクラウドの課題に直面している今こそ、構成図をベースに運用を語り…「共通言語」が不可欠であると確信しています。
セキュリティの強化もインフラ運用も、最終的に判断し、ビジネスを支えるのは「人間」です。現場にさらなる注意力を強いたり、手作業での終わりのない資産調査でエンジニアを疲弊させたりする運用に、サステナビリティ(持続可能性)はありません。テクノロジーによって構成・資産管理のブラックボックスを解除し、エンジニアが「どこに対処すべきか」を迷わず判断できる余裕を作ることこそが、正しい運用の DX の形です。
Interop Tokyo 2026 の IBC ブースでは、まさにこの「自動構成管理」と「 Tenable 連携による視覚的リスクコントロール」が融合した最新デモをお披露目し、多くのお客様に直接体感していただきました。複雑化するリスクを恐れる必要はありません。まずは「全体を正しく見る」という一つの糸口から、企業の信頼性を揺るがさない強靭でサステナブルな運用体制を共に築いていきましょう 。
