ホーム
お客様事例
IBMソフトウェア開発組織
IBM watsonxテクノロジーをベースとするIBM Concertは、アプリケーションの管理とオペレーションを最適化するために設計されたソリューションです。この製品を担当する開発チームは、製品コード内のセキュリティー・リスクを軽減するというIBMの厳しい要件を満たしながら、製品をGeneral Availability(GA)として提供するというプレッシャーにさらされていました。
開発と並行して、セキュリティー・アセスメント・ツールがコードをスキャンし、数百または数千件の共通脆弱性識別子(CVE)リストを生成するというのは、世界中の製品開発チームにとってよくある課題です。ほとんどのCVEはクリティカルではないものの、リストをふるいにかけ、修復に優先順位を付ける作業は、開発を大幅に遅らせる可能性があります。また、開発サイクルの後半までクリティカルな問題が見つからない場合、再構築や再テストに多くの時間を費やす可能性があります。したがって、製品の準備状況、そして最終的な収益は、適切なCVE管理と結びついています。
幸いなことに、Concert開発チームにとって革新的なソリューションが目の前にありました。Concertがサポートする中核となるユースケースの1つはCVE管理の合理化です。そのため、製品の開発者自身が初めてこの製品に満足した顧客となりました。
開発チームはConcertを使用して、CVEを管理するためのよりスマートで合理化されたアプローチを作成しました。これまで、チームは優先度スコアを含むCVEの一意のリストを生成する2つのサードパーティー・セキュリティー・アセスメントツールに依存していました。その後、チームは2つのリストを手動で分析して相関させ、その後IBM最高情報セキュリティー責任者(CISO)のオフィスと連絡を取り、優先順位について合意します。
現在、サードパーティー・ツールからのデータはConcertに供給され、Concertはよりインテリジェントな優先順位付けを行い、統一されたCVEリストを作成します。このソフトウェアの基礎となるAIは、各CVEが接続やエントリーポイントを含むアプリケーションの環境全体とどのように関連しているかを分析し、これを考慮して優先順位を付けます。
CVEと優先度スコアもグラフィカル・マップ上に表示されるため、開発者は各CVEがアプリケーションとどのように関連しているのか、最初に作業が必要な場所を素早く把握することができます。IBMのQAおよびセキュリティーおよびリリース・エンジニアリング担当プログラム・ディレクターのMahesh Dashora氏は次のように述べています。「Concertは他のスキャン・ツールよりも優れています。エクスポージャーに関する洞察が深まることで、重要な項目をより迅速に解決できるようになりました。」
また、チームは次のようなConcertのメリットも受けることができました。
CVE管理にConcertを採用した当初、チームは約200件の未解決のCVE問題に直面していました。通常であれば、これだけの項目をレビューしてトリアージし、優先順位と修復の承認を得るには、8人週(PW)以上の作業が必要でした。Concertでアクションに優先順位をつけることでチームは手作業によるトリアージと分析作業を減らすことができたため、未解決の問題の処理にかかった時間はわずか6PWでした。
これらの時間の節約により、チームはGAの目標を達成しました。IBMのソフトウェア開発担当副社長であるVikram Murali氏は、「IBM Concertを使用してクリティカルな脆弱性を管理することで、スキャン時間を25%短縮し、予定より4日早くConcertを成功させることができました」と述べています。
もちろん、ソフトウェアは最初のリリースで終わるわけではありません。製品の開発は続き、それに伴うCVE管理サイクルも発生します。しかし、開発チームは好循環を生み出していますから、今後もこの調子で続いていくでしょう。Dashora氏は「私たちは、より早く適切なソリューションにたどり着き、最終的に全体的なリスクを軽減しています。そして、節約した時間を再投資し、IBM Concertに新しい機能を追加することに時間を費やしています。」
IBMソフトウェア開発組織は、社内および顧客向けソリューションを含む、同社のソフトウェア・ソリューション・ポートフォリオを推進するグローバルチームです。クラウド・コンピューティング、サイバーセキュリティーなどの専門知識を備える同グループは、あらゆる業種・業務でイノベーションを促進する最先端の製品の構築に注力しています。
© Copyright IBM Corporation 2024.IBM、IBMのロゴ、IBM ConcertおよびIBM watsonxは、米国およびその他の国または地域におけるIBM社の商標または登録商標です。本資料は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国または地域であっても、特定の製品を利用できない場合があります。
引用または説明されているすべての事例は、一部のクライアントがIBMの製品を使用し、達成した結果の例として提示されています。他の運用環境における実際のパフォーマンス、コスト、節約、またはその他の成果は異なる場合があります。