DIVX、診断から修正・監視まで一貫対応するセキュリティサブスク「S³」開始

従来のセキュリティ対策は、年1回の脆弱性診断を中心とした「点検型」が一般的でした。診断後の修正作業や継続的な監視は別のベンダーが担当するケースが多く、対応が遅れたり、責任の所在が曖昧になったりする課題がありました。特に、診断日以外の期間は「現在の安全状態」を即答できないリスクを抱えていました。

divxはこの業界の構造的課題に対し、セキュリティ対策を一時的な「作業」ではなく、常に維持される「状態」として管理するモデルとしてS³を開発しました。

S³は、Scan（診断）、Solve（修正・実装）、Secure（継続監視）の3つのプロセスを一つのループとして回し続けます。

「Scan」では、AIを用いた自動診断に加え、アプリケーションエンジニアが実際の業務フローを踏まえたシナリオ診断を実施します。これにより、ツールだけでは検出しづらい実装依存の脆弱性も発見できます。

「Solve」では、診断を担当したエンジニア自身がコード修正まで対応します。診断と修正を分断しないことで、認識のズレや対応の遅延を防ぎます。

「Secure」では、Gitリポジトリと連携したAIコード診断により、コードの差分や新たに公開された脆弱性情報を継続的に監視します。これにより、インシデント発生前の早期対応が可能になります。

S³は月額サブスクリプションモデルを採用しています。これにより、年度末に高額な一括診断費用を計上する従来型の予算編成から脱却し、予算の平準化を図れます。また、診断から監視までを一つの体制で提供するため、複数ベンダー間の調整コストや責任の所在を明確にできる点も特徴です。

同社代表取締役社長の物部英嗣氏は、「セキュリティ対策は、やったかどうかではなく、今どういう状態かが問われる時代です」と述べています。S³は「開発会社」の枠を超え、「安全な状態を維持するパートナー」となることを目指すサービスです。

A. セキュリティ診断からコード修正、継続的な監視までを一つの契約で提供する月額制のサービスです。安全を「点検」から「常時維持」する状態へ転換します。

A. 年1回の診断で終わるのではなく、発見した脆弱性をすぐに修正し、その後も新しい脆弱性が入り込まないようコードを監視し続けます。

A. 自社システムのセキュリティ対策が分断されていて責任所在が曖昧な企業や、監査時に「今の安全状態」を説明する必要がある情報システム部門に向いています。

• https://f2ff.jp/event/secd
• https://www.divx.co.jp/

O!Productニュース編集部からのコメント

診断したエンジニアがそのまま修正まで担当する点が秀逸です。脆弱性の「発見」と「対策」の間で生まれるすき間を、組織内で埋められます。セキュリティ担当者のストレスが減りそうです。

引用元：PR TIMES