セルフ脆弱性診断（Qualys）

運用フェーズの脆弱性対策を定額で何度でも。
Qualysで「継続的」かつ「効率的」なセキュリティ運用を実現。

セルフ脆弱性診断サービスとは

アセット情報の収集／脆弱性検出 によりすべてのアセットの 脆弱性リスクを把握・可視化 するとともに、発見された 脆弱性の対策を管理 することで、脆弱性の脅威からアセットを守ります。

Qualysの概要

セルフ脆弱性診断 Qualysは、世界トップシェアのSaaS型プラットフォームを活用し、お客様自身で、継続的なリスク評価と一元化された対策管理を可能にします。

脆弱性の「発見」に留まらず、「可視化」「優先順位付け」「対応管理」までを単一のプラットフォームで統合する画期的なソリューションです。

年間定額制で何度でも診断が可能なため、運用期間中のコストを大幅に抑えながら常に最新のリスクレベルを把握できます。

サービスが解決するお客様の課題

従来型の診断は費用負担が大きく、頻度を上げられない

従来の診断は「ワンショット契約」のため、定期的な診断の費用負担が大きく、診断頻度を上げられない。

年間定額制で何度でも診断が可能。
運用フェーズの継続的な診断コストを大幅に削減します。

診断報告書作成などが追いつかずリスク可視化の遅延がある

運用環境の変化や新たな脆弱性の発見に、手動での診断や報告書作成が追いつかず、常にリスク把握が後手に回っている。

エージェントがリアルタイムに情報収集。
最新の脆弱性情報はほぼ毎営業日更新され、常に正確なリスクを把握できます。

診断後の対策管理が手作業になり煩雑化している

診断結果がPDFなどで提供され、対策の進捗管理や実施者への依頼が手作業になり、工数がかかる上に漏れが発生しやすい。

ポータル内のチケット機能により、対策の依頼・進捗管理をプラットフォーム内で一元化・自動化。
漏れのない運用を実現します。

アセット情報が散在しており、全体像が見えない

オンプレミス、クラウド、Webアプリケーションなど、アセット情報がバラバラで脆弱性リスクの全体像が見えない。

単一のクラウドプラットフォームですべてのアセット情報と脆弱性情報を集約し、
リスクの全体像を一目で可視化します。

選ばれる理由

年間定額で、
コストを気にせず
「継続診断」

従来の診断は契約ごとに費用が発生しますが、セルフ脆弱性診断 Qualysは年間定額制です。
コストを気にせず必要なときに何度でも診断を実施でき、開発後の運用フェーズにおけるセキュリティレベルを維持・向上できます。

世界が認める
「圧倒的な信頼性」と低誤検知率

Qualysは130ヵ国15,700社超の導入実績がある世界トップシェアのSaaS型プラットフォームです。99.9996%という高い正確性（シックスシグマ）で誤検知が少なく、診断結果を信頼して対策に集中できます。脆弱性定義ファイルはほぼ毎営業日更新されます。

対策完了までの
プロセスを
「一元管理」

単なる脆弱性リストの提供ではありません。Qualysポータル上で、リスクの優先順位付け、対策パッチの推奨、担当者へのチケット発行・進捗管理までを一気通貫で実行。属人的な脆弱性管理から脱却できます。

Qualysを
知り尽くした
「手厚い日本語サポート」

NTTセキュリティ・ジャパンのエンジニアが、サービスの導入から運用、診断結果の解釈、操作方法まで、すべて日本語で手厚くサポートします。グローバル製品の導入不安を解消します。

サービスの特徴

Qualysにおける診断プロセス

継続的に診断プロセスを実施する環境を提供します。

サービス提供構成

リアルタイムなアセット管理と診断（エージェント利用）

端末に軽量なエージェントをインストールすることで、サーバーやPCがネットワークに接続されている限り、リアルタイムにアセット情報や脆弱性情報を収集でき、都度スキャンの実行や、スキャン時のネットワーク負荷を気にする必要がなくなります。

ビジネスリスクに基づいた優先順位付け

「脆弱性スコアが高い」というだけでなく、「現実に外部の脅威に晒されているか（Exploitability）」という視点でリスクを評価し、対策すべき脆弱性を明確にします。
限られたリソースを最もインパクトの大きい対策に集中投下できます。

統合されたダッシュボードとレポート機能

多岐にわたる環境（オンプレミス、クラウド、Webアプリケーション）の脆弱性情報を単一のダッシュボードで集約します。経営層やマネージャー層向けのサマリーレポートから、対策担当者向けの詳細チケットまで、目的に合わせたアウトプットが可能です。

レポート機能

Qualysでは 10種類以上のレポートテンプレートを用意
経営層向けへのサマリー報告、サーバー管理者への発見脆弱性の詳細報告など
利用シーンにあわせて様々なレポートを作成可能

検索機能

CVE-IDやキーワードなどから、組織内に存在する特定の脆弱性や問題のあるアセットを瞬時に把握可能
並べ替え表示(脆弱性の危険度、発見日時順など)により、対策優先度の判断をサポート

アセット検出（Map）機能

契約IP数の上限に関わらず、何度でも何IPでも実施可能な「検出スキャン」で、ネットワーク上のICT資産を洗い出し、簡易構成図を自動作成(マッピング)します。
未把握のICT資産があれば、その場で脆弱性スキャンを実施することも可能です。

アセット管理機能

アセットの情報を簡単に確認することが可能です。

Threat PROTECT（脅威情報）

世の中で流行している攻撃に対してQualys社が独自調査/分析した結果を、脅威情報として解説します。
また、スキャン済みのICT資産の中で、関連する脆弱性を検出していたアセットを集計し、脅威情報とあわせてどのアセットが危険に晒されているかを表示します。

リアルタイム脅威指標

Public Exploit
Zero Day
Actively Attacked
High Lateral Movement
Easy Exploit
No Patch
High Data Loss
DoS
Malware
Exploit Kit

改善管理　～対策実施者割当／実施状況管理

診断で発見された脆弱性に対して、チケット作成からユーザー(対策責任者)割当までを自動で実施します。
管理者は、チケット作成ルールを予め定義しておくことで、脆弱性の対策実施有無をチケット一覧から確認可能です。