ホーム

お客様事例

IBMソフトウェア開発組織

AIによるCVE管理の改善と迅速な開発
IBMソフトウェア開発組織
IBM ConcertでCVEマップを確認している同僚
開発を遅らせることなくコードセキュリティーをサポートするという課題

IBM watsonxテクノロジーをベースとするIBM Concertは、アプリケーションの管理とオペレーションを最適化するために設計されたソリューションです。この製品を担当する開発チームは、製品コード内のセキュリティー・リスクを軽減するというIBMの厳しい要件を満たしながら、製品をGeneral Availability(GA)として提供するというプレッシャーにさらされていました。

開発と並行して、セキュリティー・アセスメント・ツールがコードをスキャンし、数百または数千件の共通脆弱性識別子(CVE)リストを生成するというのは、世界中の製品開発チームにとってよくある課題です。ほとんどのCVEはクリティカルではないものの、リストをふるいにかけ、修復に優先順位を付ける作業は、開発を大幅に遅らせる可能性があります。また、開発サイクルの後半までクリティカルな問題が見つからない場合、再構築や再テストに多くの時間を費やす可能性があります。したがって、製品の準備状況、そして最終的な収益は、適切なCVE管理と結びついています。

幸いなことに、Concert開発チームにとって革新的なソリューションが目の前にありました。Concertがサポートする中核となるユースケースの1つはCVE管理の合理化です。そのため、製品の開発者自身が初めてこの製品に満足した顧客となりました。

25% CVEスキャンの高速化と優先順位付け 4日間 リリースサイクルで保存
Concertは他のスキャン・ツールよりも優れています。エクスポージャーに関する洞察が深まることで、重要な項目をより迅速に解決できるようになりました。 Mahesh Dashora QAおよびセキュリティーおよびリリース・エンジニアリング担当プログラム・ディレクター IBM
クリティカルなエクスポージャーに対する洞察の向上、修復の迅速化

開発チームはConcertを使用して、CVEを管理するためのよりスマートで合理化されたアプローチを作成しました。これまで、チームは優先度スコアを含むCVEの一意のリストを生成する2つのサードパーティー・セキュリティー・アセスメントツールに依存していました。その後、チームは2つのリストを手動で分析して相関させ、その後IBM最高情報セキュリティー責任者(CISO)のオフィスと連絡を取り、優先順位について合意します。

現在、サードパーティー・ツールからのデータはConcertに供給され、Concertはよりインテリジェントな優先順位付けを行い、統一されたCVEリストを作成します。このソフトウェアの基礎となるAIは、各CVEが接続やエントリーポイントを含むアプリケーションの環境全体とどのように関連しているかを分析し、これを考慮して優先順位を付けます。

CVEと優先度スコアもグラフィカル・マップ上に表示されるため、開発者は各CVEがアプリケーションとどのように関連しているのか、最初に作業が必要な場所を素早く把握することができます。IBMのQAおよびセキュリティーおよびリリース・エンジニアリング担当プログラム・ディレクターのMahesh Dashora氏は次のように述べています。「Concertは他のスキャン・ツールよりも優れています。エクスポージャーに関する洞察が深まることで、重要な項目をより迅速に解決できるようになりました。」

また、チームは次のようなConcertのメリットも受けることができました。

  • Concertは重複するCVEを表面化させるため、チームは1つの修復で複数の場所の問題を修正できます。

  • Concertは、CVE、優先スコア、サポート・コンテキストを明確に表示するダッシュボードを提供し、CISOのオフィスと効率的に連携できるようにします。

  • ConcertはGitHubと統合できるため、修復の詳細が記載されたサービスチケットを迅速に作成でき、修正プログラムにかかる時間を短縮できます。

  • Concert は、CVEに関するすべての決定を文書化するための証拠ストアを提供し、監査の準備をサポートします。
好循環:開発を加速させながらコードのセキュリティーを向上

CVE管理にConcertを採用した当初、チームは約200件の未解決のCVE問題に直面していました。通常であれば、これだけの項目をレビューしてトリアージし、優先順位と修復の承認を得るには、8人週(PW)以上の作業が必要でした。Concertでアクションに優先順位をつけることでチームは手作業によるトリアージと分析作業を減らすことができたため、未解決の問題の処理にかかった時間はわずか6PWでした。

これらの時間の節約により、チームはGAの目標を達成しました。IBMのソフトウェア開発担当副社長であるVikram Murali氏は、「IBM Concertを使用してクリティカルな脆弱性を管理することで、スキャン時間を25%短縮し、予定より4日早くConcertを成功させることができました」と述べています。

もちろん、ソフトウェアは最初のリリースで終わるわけではありません。製品の開発は続き、それに伴うCVE管理サイクルも発生します。しかし、開発チームは好循環を生み出していますから、今後もこの調子で続いていくでしょう。Dashora氏は「私たちは、より早く適切なソリューションにたどり着き、最終的に全体的なリスクを軽減しています。そして、節約した時間を再投資し、IBM Concertに新しい機能を追加することに時間を費やしています。」

IBMロゴ
IBMソフトウェア開発組織について

IBMソフトウェア開発組織は、社内および顧客向けソリューションを含む、同社のソフトウェア・ソリューション・ポートフォリオを推進するグローバルチームです。クラウド・コンピューティング、サイバーセキュリティーなどの専門知識を備える同グループは、あらゆる業種・業務でイノベーションを促進する最先端の製品の構築に注力しています。

ソリューション・コンポーネント IBM Concert
アプリケーション所有者と開発者の生産性を向上

IBM watsonxを搭載したIBM Concertは、生成AIを活用した洞察を通じて、アプリケーション管理とテクノロジー運用を簡素化し、最適化します。

IBM Concertの詳細はこちら お客様事例はこちら
法務

© Copyright IBM Corporation 2024.IBM、IBMのロゴ、IBM ConcertおよびIBM watsonxは、米国およびその他の国または地域におけるIBM社の商標または登録商標です。本資料は最初の発行日時点における最新情報を記載しており、IBMにより予告なしに変更される場合があります。IBMが事業を展開している国または地域であっても、特定の製品を利用できない場合があります。

引用または説明されているすべての事例は、一部のクライアントがIBMの製品を使用し、達成した結果の例として提示されています。他の運用環境における実際のパフォーマンス、コスト、節約、またはその他の成果は異なる場合があります。