2025/7/9 - 読み終える時間: 2 分

Vulnerability Management: Reporting in Enterprise Securityの翻訳版です。

2025年7月2日
Bulbul Das
Global Engagement Manager, HCLSoftware

エンタープライズ内のエンドポイント全体にわたる可視性は、競争優位性となるか、またはリスク要因となる可能性があります。可視性が意思決定を支援できない場合、それは単なるノイズに過ぎません。明確な方向性のないダッシュボードや断片化したレポートは、大量の情報にすぎません。

セキュリティチームは、複数の不安全なシステムにおける脅威に対処するため、大きなプレッシャーに直面しています。また、エンドポイントのコンプライアンスを確保し、監査対応を維持する必要があります。しかし、多くの組織は、限定的な洞察しか提供しない断片化されたレポートツールのため、苦労しています。

Gartnerによると、伝統的な脆弱性管理だけでは不十分であり、組織はリスクを効果的に優先順位付けし、適切なタイミングで行動するため、継続的なリスク管理が必要となっています。1

最新のHCL BigFix Reportsは、エンドポイント管理において一歩前進をしています。エンドポイント全体の可視性を強化し、高度でアクセスしやすいレポートを提供することで、HCL BigFixはよりスマートで応答性の高いセキュリティ運用を実現するための基盤を築きました。

エンタープライズ脆弱性管理が進化したレポートを必要とする理由

デバイス数と種類の増加に伴い、企業は数千のエンドポイント、クラウドインスタンス、モバイルデバイス、サードパーティアプリケーションを含むハイパーコネクテッド環境で運営されています。従来の脆弱性管理ツールは、中央集約型の可視性や文脈に基づく優先順位付けを提供できず、これが現在の課題となっています。これにより、パッチ適用遅延やコンプライアンスのギャップが生じ、企業のITインフラが潜在的な脅威にさらされるリスクが高まります。

2017年のEquifax侵害事件を例に取ると、Apache Strutsの既知の脆弱性（CVE-2017-5638）には、侵害発生の2ヶ月前にパッチが利用可能でした。しかし、この脆弱性は気づかれず対応されず、1億4700万人のアメリカ人の個人データが漏洩する結果となりました。これはツールの不足ではなく、洞察の不足が原因であり、より良いレポート機能があればこのギャップを埋めることができたでしょう。

HCL BigFix Reportsの新たな機能

組織がIT運用をより直感的に理解するための方法を探求する中、レポート機能は需要に応えるために進化する必要があります。2025年4月、HCL BigFixはプラットフォーム全体のレポート体験を現代化するための取り組みを継続し、HCL BigFix Reportsモジュールのアップデートをリリースしました。

このリリースには以下の内容が含まれます：

• ユーザーフレンドリーなレポート体験を実現するためのアクセシビリティの向上とインターフェースのアップデート
• パッチパフォーマンスプレイリスト
• 以前のリリースでのユーザーフィードバックに基づく製品不具合の修正
• 5つのCVE（CVE-2025-25977、CVE-2025-29907、CVE-2025-27152、CVE-2025-27789、CVE-2025-26791）の修正

これらの更新により、パッチ管理に関する意思決定を支援し、エンドポイントのコンプライアンス強化に役立つ可視性が追加されます。
HCL BigFixは、脆弱性管理の広範な実践における報告の役割の進化にさらに密接に整合し、企業がIT環境をより効果的に管理するのを支援します。

パッチ管理のギャップを埋めるパッチパフォーマンスプレイリスト

HCL BigFix Reports Updateの主要な追加機能の一つが「パッチパフォーマンスプレイリスト」です。これは、パッチ適用プロセスに関する集中的な洞察を提供するレポートウィジェットのコレクションです。異なる製品領域からデータを収集し、レポートの上位層として機能するプレイリストは、ステークホルダーのニーズに応じてビューをカスタマイズ可能です。

パッチパフォーマンスプレイリストは、パッチ管理に関連する重要なKPIを表示し、デバイス別および露出レベル別のパフォーマンスを示します。また、トレンドデータと環境リスクスコアリングも含まれており、組織が注意が必要な領域を特定するのに役立ちます。

脆弱性管理のイノベーションで先手を打つ

最新のHCL BigFix Reportsアップデートは、HCL BigFix Platformバージョン11.0.3以降で利用可能です。更新されたコンテンツは自動的に収集されるため、ユーザーは修正と改善にアクセスできます。

このアップグレードは、脆弱性報告をアクセスしやすいだけでなく、有用なものにするための継続的な取り組みを反映しています。ナビゲーションの簡素化から、成果指向のレポート作成と管理まで、すべてがチームがよりスマートかつ迅速に作業できるよう設計されています。
データの利用可能性、実行可能性、および組織のIT目標への関連性を向上させることで、これらの継続的な改善は、脆弱性管理、パッチ管理、エンドポイントコンプライアンスイニシアチブにおける報告の役割を強化します。

結論：可視性が新たなセキュリティ境界線

企業のハイブリッドワーク、クラウド環境、サイバー脅威が特徴の未来へ急速にシフトする中、リスクをリアルタイムで特定し対応する能力が、防御の基盤として浮上しています。

企業はより迅速に対応し、コンプライアンスを維持する能力を向上させています。

2025/7/4 - 読み終える時間: 2 分

Introducing HCL BigFix SaaS Management: Gain Unmatched Control Over SaaS Stackの翻訳版です。

2025年4月29日
Bulbul Das
Global Engagement Manager, HCLSoftware

業界全体でSaaSの導入が加速する中、企業は従来のソフトウェア資産管理（SAM）以上のものを必要としています。

Gartner社によると、SaaSに費やされた費用の25%は、限られた可視性と十分に活用されていないライセンスのために無駄になっています1。このことは、SaaSエコシステム全体でより良い管理を行う必要性を浮き彫りにしています。

SaaS管理は、部門横断的にクラウドベースのアプリケーションを発見し、最適化し、保護するために不可欠となっています。SaaS管理は、IT、財務、調達、セキュリティの各チームに、使用状況やコストからセキュリティやコンプライアンスに至るまで、SaaSスタックを可視化し、管理する力を与えます。

HCLSoftware,BigFixでは、HCL BigFix SaaS Managementを発表できることを嬉しく思います。HCL BigFix SaaS Managementは、Cloudeagle.aiとのパートナーシップにより構築された、SaaSの可視化と管理の課題に対応する新しいソリューションです。HCL BigFix SaaS Managementは、SaaSの可視化と管理の課題を解決するためにCloudeagle.aiと共同で開発された強力な新ソリューションです。

HCLのBigFix SaaS Managementは、SaaSエコシステム全体で可視性、節約、制御を実現するように設計されており、エンドポイントからクラウドまで、BigFixをもたらします。

SaaSの新たな課題を解決

SaaSの導入は、より迅速なイノベーションを促進しましたが、同時に隠れたコスト、運用リスク、ガバナンスの盲点も生み出しました。

SaaSをリアルタイムで可視化ししなければ、企業は隠れたアプリ、未使用のライセンス、不必要な支出、コンプライアンス上の問題を抱えるリスクがあります。このような課題を管理するには、コスト削減を効率的に特定し、SaaS アプリケーションの利用を最適化するための適切なツールが不可欠です。

ソフトウェア支出管理とSaaSライセンスの最適化は、もはやオプションではなく、ビジネスクリティカルです。

そのため、HCL BigFix SaaS Managementは、BigFixの信頼性の高いコンプライアンスと自動化の強みをSaaS環境に拡張し、すべてのアプリケーション、ベンダー、部門にわたって統一されたソフトウェアガバナンスを実現します。

HCL BigFix SaaS Managementがもたらすもの

HCL BigFixの中核的な強みであるコンプライアンス、コントロール、自動化をクラウドに拡張し、単一のソリューションで以下を実現します：

• 未管理のツールや未承認のツールを含む、使用中のすべてのSaaSアプリを検出します。
• 使用状況ベースのインサイト、ライセンスのクリーンアップ、SaaSとの統合により、支出を最適化します。
• ポリシー実施により、ソフトウェアスタック全体を管理します。
• AIを活用した契約追跡と価格インテリジェンスにより、よりスマートな更新を実現します。

この単一のソリューションにより、ソフトウェアの全体像を把握し、可視性を向上させ、コストを削減し、管理を強化することができます。

HCL BigFix SaaS Managementを選ぶ理由

1. SaaS管理セットアップ

500以上のSaaS統合により、利用する可能性のあるSaaSを最適化します。

2. 最初の週から30%以上のコスト削減

ベンチマークコストの特定、利用状況の把握、ソフトウェア支出の意思決定の自動化により、節約を実現します。

3. すべてのSaaSアプリケーションを1つのダッシュボードで管理

チームが単一のダッシュボードからSaaSアプリケーションを管理、最適化、更新できます。

4. 既存システムとのシームレスな統合

CLM、Okta、サードパーティのリスクプラットフォームなど、既存のツールと接続できるため、カスタム開発なしでSaaSガバナンスを行えます。

5. よりスマートなSaaSライセンスの最適化と更新

ライセンスハーベスティングの自動化、未使用ライセンスのダウングレード、組み込みのワークフローと承認による更新管理により、コスト削減を実現します。

ソフトウェア・ガバナンスの未来はHCL BigFix SaaS Managementから始まる

SaaSの導入が進む中、オンプレミス環境とクラウド環境の両方にまたがるソフトウェアスタックを管理する必要があります。

HCL BigFix SaaS Managementは、可視化、冗長アプリの排除による無駄な支出の削減、ガバナンスの強化、ソフトウェア管理へのアプローチの変革を可能にします。SaaSベンダーとソフトウェア資産の管理に単一のプラットフォームを活用することで、運用効率とセキュリティが向上します。

ソフトウェア管理の近代化の準備はできましたか？

HCL BigFix SaaS Managementで詳細をご覧いただくか、今すぐお問い合わせください。

参考文献

1. https://www.gartner.com/en/documents/4006574

2025/7/3 - 読み終える時間: 5 分

SaaS Management vs SAM vs ITAM: Differences and Best Practicesの翻訳版です。

2025年4月29日
Bulbul Das
Global Engagement Manager, HCLSoftware

クラウドの普及に伴い、ソフトウェアやIT資産の管理はより複雑になっている。そこで、SaaS管理、SAM、ITAMが登場し、それぞれが技術スタックの異なる部分を扱う。

SaaS管理は、クラウド・アプリの使用状況の追跡と管理を支援します。サブスクリプションを管理し、セキュリティ・コンプライアンスを確保します。

ソフトウェア資産管理（SAM）は、エンドポイント（ラップトップ、サーバー、デスクトップ、ワークステーションなど）にインストールされたソフトウェア・ライセンスの管理に重点を置き、過剰支出の回避、セキュリティ・リスクの低減、監査対応の維持を支援します。ITAMはすべてのIT資産をカバーし、ハードウェアとソフトウェアの両方を可視化します。

ITAMを最大限に活用するためには、それぞれの違いとベストプラクティスを理解する必要がある。ITAMとSAMはどう違うのだろう？

ITAM、SAM、SaaS管理の主な違い

1. IT資産管理（ITAM）

ITAMとは
ITAMは、ハードウェア、ソフトウェア、クラウドサービスなど、組織のすべての技術リソースを管理するための幅広いアプローチである。

ITAMの役割
ITAMは、ITインベントリ全体を可視化するのに役立ちます。何を所有し、どこで、どのように使用されているかを追跡することができます。

ITAMとの違い
SAMとSaaS Managementがソフトウェアに重点を置いているのに対し、ITAMは物理デバイスとクラウドインフラも含みます。アプリケーションだけでなく、すべてのIT資産の全体像を把握することができる。

ITAMが提供するメリット

• すべてのIT資産を完全に把握
• より良いリソース計画によるコスト削減をサポート
• 未使用の資産を特定し、統合を可能にする
• より良いベンダーとの契約交渉をサポート

制限事項
広範ではあるが、（SAMのような）ライセンスコンプライアンスや（SaaS Managementが扱う）SaaS固有の可視性とガバナンスには深く踏み込んでいない可能性がある。

2. ソフトウェア資産管理（SAM）

概要
ソフトウェア資産管理は、組織内のソフトウェアを管理するための集中的なプラクティスである。ライセンスの購入から使用停止まで、ソフトウェアのライフサイクル全体をカバーする。また、誰がソフトウェアにアクセスできるか、誰がアクセスできないかなど、ソフトウェア権限の全体的な管理も指す。

機能
SAM は、組織全体でソフトウェアがどのように使用されているかを追跡する。ライセンスのコンプライアンスを保証し、未使用のライセンスを再配分して無駄を省きます。また、誰かがソフトウェアを使用しておらず、それがインストールされていない場合、そのソフトウェアが存在しないため、敵対者はそのソフトウェアの脆弱性を悪用することができないため、セキュリティの役割も果たします。

ITAMとの違い
ハードウェアとインフラストラクチャを含むITAMとは異なり、SAMはソフトウェアがすべてであり、主にサーバーを含むエンドポイントにインストールされたアプリケーションの管理に使用される。

SAMが提供するメリット

• ライセンス契約を遵守
• 過剰ライセンスの回避によるソフトウェア費用の削減
• 使用傾向の可視化
• 悪用可能な脆弱性の攻撃対象領域を減らすことができます。

制限事項
SAMは、ライセンス管理、更新管理、セキュリティリスクなど、SaaS特有の課題に対応していません。また、ITAMの対象である物理的資産の管理もできない。

3. SaaS管理プラットフォーム

概要
SaaS管理とは、組織が使用するすべてのクラウドベースのソフトウェアを追跡管理することである。SAMにおけるSaaS管理の限界を克服するための対応策である。

機能
SaaSスタックをリアルタイムで把握できます。サブスクリプションの追跡、使用状況の監視、更新の管理に役立ちます。使用されていないアプリを発見し、不要なコストを削減することでSaaS支出管理を最適化できます。

他社との違い
SaaS Managementは、クラウドベースのアプリケーションのみに焦点を当てています。ハードウェアやデバイスにインストールされた従来のソフトウェアは扱いません。

メリット

• SaaS支出管理の最適化
• 更新を管理し、アプリケーションの乱立を回避します。
• 使用状況を追跡し、ライセンス効率を向上
• リスクを監視し、コンプライアンスを確保することで、セキュリティ管理戦略を改善します。

制限事項
クラウド以外のソフトウェアやハードウェアは管理できません。その価値はSaaS環境のみに集中しています。

ITAMおよびSAM担当者がSaaS管理に関心を持つ理由

ITAMとSAMの専門家がSaaS管理に関心を持たなければならない理由を以下に示す。

1. SaaSの成長が従来のITAMとSAMに与える影響

SaaSアプリの台頭は、IT資産の管理方法を再構築しました。ITAMやSAMに携わっているのであれば、何が変わってきているのかを紹介しよう：

トラッキングがより困難に

SaaSアプリはしばしば調達をバイパスするため、正確なインベントリを維持することが難しくなります。アクティブなサブスクリプションをすべて把握し、コストを管理するには、より強力なトラッキングが必要になります。

ライセンスの監視が重要

SaaS ライセンスは移り変わりが早い。未使用のシートや自動更新による無駄を避けるため、更新、使用状況、アクセスを追跡する必要があります。

セキュリティ・リスクの増大

SaaSの導入が容易になると、アクセスポイントが増える。セキュリティチームとの緊密な連携が、アクセス管理とデータ保護ルールの遵守の鍵となる。

ベンダー管理の進化

SaaSの管理は、より多くのベンダー、柔軟な価格設定、継続的な更新を扱うことを意味します。そのため、新たなベンダー管理戦略と、より緊密なベンダー監視が求められる。

2. 資産管理戦略においてSaaSを無視するリスク

ITAMやSAMの計画にSaaSを織り込んでいない場合、多くの問題を放置していることになり、いくつかの深刻な問題に直面する可能性があります：

セキュリティリスク

監視されていないSaaSアプリは、すり抜ける可能性がある。また、従業員が承認なしにツールを使い始めると、誰が何にアクセスできるかを管理するのが難しくなる。

コンプライアンス違反

SaaSの利用状況を追跡していないと、重要なデータプライバシー規則を見落としがちです。気づかないうちにコンプライアンス違反を犯し、罰金や法的トラブルに発展する可能性もある。

財務上の無駄

異なるチームが同じようなツールを契約したり、すべてのライセンスを使用しなかったりすると、必要以上の出費をすることになります。また、明確なビューがないと、一括価格設定やライセンスの最適化を逃してしまいます。効果的なSaaS管理は、ソフトウェア支出の最適化に役立ちます。

非効率なワークフロー

チームが同じタスクに異なるアプリケーションを使用すると、サイロが形成され、コラボレーションが阻害されます。分散したSaaSスタックは作業を遅らせ、不必要なツールの切り替えを招きます。

交渉力の低下

SaaSの購入が分散すると、契約を交渉する力が失われる。一元管理されたビューは、ベンダーとの交渉力を高め、より良い契約を結ぶのに役立ちます。

3. 既存のITAM/SAMフレームワークにSaaS管理を統合するメリット

SaaS管理をITAMやSAMシステムと組み合わせることで、より強力な可視性、支出に対する厳格な管理、よりシンプルな運用が可能になります。HCL BigFix SaaS Managementのようなツールがもたらすものは以下の通りです：

SaaSの完全な可視化

SaaSを完全に可視化することで、どのソフトウェアが、どこで、誰に利用されているかを正確に追跡できます：

• 検出方法と500以上のアプリのライブラリを使用して、環境内の許可されたSaaSツールと許可されていないSaaSツールの両方を識別します。
• APIを通じて直接統合し、機能レベルの使用状況データを提供することで、アプリケーションの使用状況をより把握できます。
• 部門ごとにアプリケーションを自動的に分類するため、チーム全体の使用状況を追跡し、ソフトウェアコストを割り当てることができます。
• 未承認のアプリケーション購入に対してリアルタイムでアラートを送信し、シャドーITを抑制して対策を講じることができます。

正確な使用状況データの活用による経費削減の最大化

チームがSaaSツールをどのように使用しているかを理解することで、無駄を省き、ライセンシングを最適化することができます：

• Zoomミーティングのスケジュール数やDocuSignの送付数など、実際のユーザレベルのアクティビティを追跡することで、ライセンスがその価値を発揮して使用されているかどうかを評価することができます。
• 十分に使用されていない、またはアイドル状態のライセンスをハイライトし、更新サイクルの前にそれらを再生成または再配布できるようにします。
• 例えば、100ライセンス分の料金を支払っているが、アクティブに使用されているのは80ライセンスだけといったシナリオを特定できます。
• ライセンスハーベスティングワークフローを自動化し、未使用のライセンスを再請求し、必要に応じてキャンセルまたは再割り当てします。

冗長性の特定と技術スタックの最適化

SaaS Managementは、不要な重複や肥大化を排除することで、ソフトウェア環境の合理化を支援します：

• 同じ目的で重複するアプリケーションを検出し、統合して冗長な支出を削減できます。
• SSOとHRISの統合により、各アプリケーションへのアクセス頻度とアクセス者を正確に把握します。
• スタックから削除可能な、放置された、十分に活用されていない、または古くなったツールを検出します。
• このデータを一元化されたダッシュボードに表示し、使用率の低いアプリやライセンスの傾向を強調表示します。
• サブスクリプションの適正化、更新の意思決定、ベンダーとの交渉の効率化を支援します。

IT、セキュリティ、調達にわたるプロセスの自動化

繰り返しの多い手作業を自動化することで、チーム全体のミスを減らし、業務をスピードアップします：

• 既存のシステムと統合することで、環境全体のアプリケーションを自動的に検出し、シャドーITや未承認ツールに先手を打つことができます。
• ソフトウェア契約からメタデータを抽出することで、契約管理を簡素化し、主要な条件とコミットメントの概要を一元管理できます。
• 自動更新カレンダーを作成し、更新を先取りして交渉中の土壇場での不測の事態を回避します。
• ライセンス再利用のための自動ワークフローを実行し、未使用のライセンスを特定して回収し、使用量を最適化します。
• Slack対応のリクエストに対応し、社内チームでの調達を容易にします。
• 自動プロビジョニングと自動デプロビジョニングが可能で、入社時や退社時に従業員へのアクセス権の付与や削除を実行します。

価格ベンチマークでベンダーとの交渉をよりスマートに

SaaS Managementは、適正な市場価格を支払い、ベンダーから最大限の価値を得ていることを確認するのに役立ちます：

• 最新の価格ベンチマークデータベースにアクセスし、現在のソフトウェア価格を市場標準と比較できます。
• アプリケーションの使用状況や支出パターンを表示し、過剰な支払いや十分な価値を得られていない箇所を特定できます。
• プラットフォームを通じて事前交渉済みのベンダー割引を提供し、コスト削減の出発点を強化します。
• ベンダーと価格設定の専門家が支援する購入支援ダッシュボードを提供し、最良の条件と更新の確保を支援します。

これらの機能により、十分な情報を得た上で自信をもってベンダーとの話し合いに臨み、コスト削減の準備を整えることができます。

SaaS、SAM、ITAMを一緒に管理するためのベストプラクティス

以下は、SaaS、SAM、ITAMを一緒に管理するためのベストプラクティスです：

• すべての資産データをHCL BigFix SaaS Managementのような1つのプラットフォームに集中させ、可視性とコントロールを得る。
• 手作業なしですべてのソフトウェアとハードウェアを検出し、カタログ化するために、検出を自動化します。
• ソフトウェアの購入、使用、廃棄に関する明確なポリシーを設定し、混乱やシャドーITを回避します。
• 定期的な監査により、インベントリを維持し、ライセンスのコンプライアンスを確保します。
• 使用状況を積極的に監視して、使用されていないライセンスを再割り当てまたは破棄し、ROIを向上させます。
• MFA、暗号化、厳格なアクセス制御により、管理戦略にセキュリティを組み込む。
• IT、調達、財務間のコラボレーションを促進し、意思決定とサイロ化を低減します。
• データインサイトの活用により、予算編成の指針を示し、支出を最適化し、より戦略的な選択を行う。
• ベンダーの価格設定とライセンスの変更を常に監視し、予期せぬコストを回避する。

結論

SaaS、SAM、および ITAM をサイロで管理することは、もはやうまくいきません。コストを削減し、リスクを低減し、無駄のない効率的なスタックを維持します。HCL BigFix SaaS Managementは、そのすべてを一箇所に集約します。今すぐお問い合わせください。

2025/6/25 - 読み終える時間: ~1 分

HCL BigFix Makes History: The Only NIAP-Certified Endpoint Management Solutionの翻訳版です。

2025年6月16日
Bulbul Das
Global Engagement Manager, HCLSoftware

HCL BigFixは、市場をリードするエンドポイント管理プラットフォームとして、セキュリティの卓越性において新たなマイルストーンを達成しました。このソリューションは、NIAP（国家情報保証パートナーシップ）のアプリケーションソフトウェア保護プロファイルに基づき、正式にNIAP認証を取得しました。

この認証を取得した唯一のエンドポイント管理ソリューションとして、HCL BigFixは、エンタープライズ環境における安全でスケーラブルかつ信頼性の高いエンドポイント制御の提供へのコミットメントを再確認しています。

NIAP認証：信頼できるセキュリティのグローバルな認知

NIAPは米国政府のイニシアチブであり、IT製品を国際的に認められた共通基準（Common Criteria）に準拠して認証します。この認証は多くの政府機関や防衛機関の要件であり、民間企業にとって製品の成熟度を示す強力な指標となります。

HCL BigFixの認証取得は、最も厳格なグローバルセキュリティ基準への準拠を証明し、高水準のセキュリティ要件を持つ組織への継続的なサービス提供を保証します。

厳格なプロセス：BigFix v11が最高基準を満たす

HCL BigFix v11は、以下の2つの重要な保護フレームワークに基づき評価・認証されました：

• アプリケーションソフトウェア保護プロファイル（CPP_APP_SW_V1.0e）
  
• トランスポート層セキュリティ機能パッケージ（PKG_TLS_v2.0）
  

この認証は、認定された第三者機関による数ヶ月にわたるテストを経て、NIAPによる正式な承認に至りました。これにより、HCL BigFixはアーキテクチャとセキュリティ設計の堅牢性を強調しています。

HCL BigFixが統合エンドポイント管理で際立つ理由

HCL BigFixは単に基準を満たすだけでなく、基準を設定するものです。その「Secure-by-Design」メソドロジーにより、セキュリティはプラットフォームのすべてのレイヤーに組み込まれており、開発から展開まで一貫して確保されています。エンドポイント管理とインシデント対応により、BigFixは信頼性と安心感を提供します。

エージェントベースのアーキテクチャは、可視性、修復、インシデント対応を可能にし、組織がすべてのエンドポイントに対して制御を保持できるようにします。

未来を見据えて：認証済み、実証済み、未来対応型

NIAP認証の取得は、HCL BigFixのセキュリティの次の章の始まりを示す成果です。この認定は、BigFixが達成した成果だけでなく、今後約束するものを反映しています: より強固な保護、より深い信頼、そして現代のIT環境のニーズに合わせて進化するプラットフォーム。

セキュアなエンドポイント管理へのコミットメントを詳しく知るには、HCL BigFix Trust Centerをご覧ください。

2025/6/11 - 読み終える時間: 5 分

3 Strategies For Mitigating Cybersecurity Threatsの翻訳版です。

2025年6月6日
Robert Leong
Senior Director and Head of Product Management

サイバー犯罪は制御不能な状況に陥っていますが、その犯人は間違っているかもしれません。

サイバーセキュリティに関する報道を見ると、これらはすべて、ハッカーが斬新なゼロデイ攻撃を考案し、システムを侵害し、ひどいことをした結果だと考えがちです。それは、業界誌で報じられる内容であり、読者に面白さを提供するためです。

2024 年に発生した主な情報漏えい事件をいくつか見てみましょう。

• 国家公共データ漏洩事件では、約29億人の個人情報が漏洩し、社会保障番号や電話番号が含まれていました。これは2024年最大のデータ漏洩事件であり、おそらく重大な事件の一つです。
• 米国財務省は、APT27によってリモートサポートシステム経由で攻撃を受けました。
• Change Healthcareは、今年最大の医療関連データ漏洩事件を起こし、1億件を超える顧客記録が漏洩しました。これにより、史上最大の医療関連データ漏洩事件となる可能性があります。
• 2024年2月、TechCrunchはUnitedHealthでのデータ漏洩事件を報じ、1億人の顧客に影響を与える可能性があると指摘しました。もしこの数字が正確であれば、これは米国史上最大の機密データ漏洩事件となるでしょう。
• Ticketmasterは、4,000万人の顧客データがハッキングにより抽出されたと報告し、これによりエンターテインメント業界で最も大規模なデータ漏洩事件の一つとなりました。
• 通信大手のAT&Tは、1億1,000万件と7,300万件の記録が漏洩する2件の重大な漏洩事件を経験しました。

これらの攻撃を分析し、攻撃の手口について読めば、ゼロデイ脆弱性の大量発生や、報道される攻撃が相次いでいるように思えるかもしれません…

しかし、実際のところ、ほとんどの成功したデータ漏洩は既知の脆弱性によるものです…攻撃者が利用する既知の脆弱性です。

私たちはそれらをデータベース化しています。例えば、CISAの「既知の悪用可能な脆弱性データベース」などです。もう一つは、構造的な失敗や、攻撃者が破損したコミュニケーションや組織構造を悪用することでデータ漏洩が発生する点です。

したがって、私の前提は、これらを修正する必要があるということです——サイロ化、壊れたコミュニケーション、そして既知の脆弱性。実践的な方法でこれらを修正することで、セキュリティ態勢を強化できます。そして、ゼロデイ攻撃や新たな攻撃手法を心配することなく、より予測可能な方法で実現できます。

サイバーセキュリティに記録的な金額を費やしています。しかし、効果は出ているのでしょうか？

解決策に飛び込む前に、問題の規模を確認し、2025年現在の状況を評価しましょう。

2024年、企業はサイバーセキュリティに約$185億を費やし、2029年までに$300億に達する可能性があります。

しかし、衝撃的なのは、2024年のサイバー犯罪による損失が$9.22兆ドルに達し、2029年までに$15.63兆ドルに達する見込みである点です。これはタイプミスではありません。損失額はサイバーセキュリティ支出の50倍に上ります。

金銭がすべて：サイバー攻撃の動機変化

脅威の目的とプロファイルも明らかになっています。サイバー攻撃者のプロファイルは主に組織犯罪です。10年前は主に国家が関与していました。組織犯罪団体の目的は主に金銭的利益であり、以前は知的財産の窃盗が目的でした。

2015年に初めて登場したランサムウェア・アズ・ア・サービス（RaaS）は現在一般的になっています。ポイントは、スクリプトキディが攻撃に成功するのを助ける企業があることです。現在、ランサムウェアのフランチャイズが存在します。平均的なランサムウェアの支払額は現在$800,000です！これは前年比12.7%の増加です。

恐喝が脅威の風景を支配し続けています。

2018 年には、ランサムウェアによる収益化に関与した侵害は 5% 未満でした。今日、恐喝は 33% にまで成長しています。これは、92% の業界で 3 大脅威のうちの 1 つとなっています。

「ロバーツ！ランサムウェアと言っていたのに、恐喝と言ったね。なぜ変更したんだ？」と疑問に思うかもしれません。それは、犯罪者が手法を変えたからです。

ランサムウェアは恐喝ですが、人々は、敵は善人、つまり防御者たちが適切な回復メカニズムを持っていると考えていることに気づいています。

そのため、敵は現場での暗号化ではなく、機密性の高い知的財産を遠隔測定し、それを闇市場で販売したり、誰もが閲覧および/または使用できるように公開すると脅迫するのです。これは依然として恐喝ですが、その形態は変化しています。

基本に戻ろう：敵対者がどのように侵入しているか

では、この点を考える際、基本に焦点を当てましょう。彼らがどのように侵入しているのかを見てみましょう。あなたのコンピューティング環境へどのように侵入しているのでしょうか？

このチャートを見ると、盗まれた資格情報が最も多く、次にフィッシング、その次に悪用可能な脆弱性が続いています。しかし、右側のトレンドチャートを見ると、既知の悪用された脆弱性は増加傾向にあるのに対し、他の種類の侵害は横ばいまたは減少傾向にあります。

これは私たちを警戒させるべきです。なぜなら、システムへの主要な3つの侵入経路のうち、既知の悪用可能な脆弱性の管理は100%私たちのコントロール下にあるべきだからです！

考えてみてください。公開されたCVEがあります。そして、既知の悪用可能な脆弱性のデータベースがあります。

CISAの既知の悪用された脆弱性データベースに掲載されるためには、以下の条件が必ず満たされている必要があります。1つ目は、攻撃に利用されたことが確認されていること。2つ目は、有効な対策が存在すること（通常はベンダーのパッチ）。3つ目は、米国政府機関向けの期限が設定されていること。

しかし、このプロセスが単純に聞こえるにもかかわらず、私たちは十分な対応ができていません。以下のデータをご覧ください：CISA KEVカタログの半数を是正するのに、私たちには55日かかります。一方、悪意のある攻撃者は、CISA KEVカタログにCVEが掲載されると、わずか5日でその脆弱性を悪用し始めます。私たちは悪意のある攻撃者よりも10倍も遅いのです！

HCL BigFix製品管理研究からのグラフです。

年間で発見され公開されるユニークな脆弱性の数の急増をご覧ください。2019年から2020年にかけて急激に増加し、その後も増加し続けています。何が起きたのでしょうか？

私たちは数百万人の従業員をリモートワークに切り替え、そのために大量の新規コードを書きました。しかし、コーディングにおいて多くのミスを犯しました。これが、私たちのコンピューティング環境におけるすべての脆弱性をゼロに削減できない主な理由です。脆弱性が多すぎるとともに、AIコーディング手法が状況を悪化させています。

AIが状況を悪化させる理由は、AIが自分が何をしているのか理解していないからです。単に、あなたのコーディング要求に対して統計的に最も良い回答を提供しているだけです。しかし、その回答は学習モデルに保存されたコードを使用しており、そのモデル自体にも脆弱性が埋め込まれているのです！

要点は、このグラフが近いうちに下降傾向を示すことはないということです。

さらに積み重ねましょう！

状況は現在、取締役がサイバーセキュリティを純粋な技術的問題として扱わなくなったほど深刻です。彼らはビジネスリーダーにその解決を責任転嫁しています。大きな問題の一つは、ビジネスリーダーがサイバーリスクを測定し管理するためのツールを欠いていることです。

この問題の解決策は何でしょうか？

まず、問題の根本原因を理解する必要があります。

大きな問題の一つは、私たちは皆、コンウェイの法則の被害者であることです。1967年にメルヴィン・コンウェイは、組織が設計するシステムは、その組織のコミュニケーション構造のコピーになることを観察しました。

左の画像はこれをユーモアを交えて説明しています。私たちはこれらの企業に馴染みがあり、図解が面白いのは、企業がどのように組織され、相互にコミュニケーションを取っているかを反映しているからです。

私たちも同じ状況です。

防御チームは存在します。彼らは互いにコミュニケーションを取っていますか？大多数は、ほとんどまたは全く定期的にコミュニケーションを取っていません。

2024年に発表された24,000件のCVEsのうち、33%が緊急と分類されたことをご存知ですか？

しかし、攻撃に利用されたCVEsは、中程度や低優先度のカテゴリーを含めても、全体の9%に過ぎませんでした。

つまり、私たちはこれらの脅威について間違った方法でコミュニケーションを取っています。これがコンウェイの法則です。敵対者がどのように働くかと比較してみましょう。

敵対者は目標に焦点を当てます。彼らは目標の達成に焦点を当てます。彼らは経路、パターン、メカニズムという観点で考えます。モサドのポケベル攻撃の例を思い出してください。彼らは脆弱性を活用する方法について考えました。脆弱性が小さくても、目標達成に結びつくなら、計画に組み込む価値があります。

私たちもこのように考える必要があります。

痛点に基づく効果的な戦略

これらを考慮し分析すると、以下のことがわかります：

1. チームは過負荷状態です。
2. ステークホルダーは一致していません。
3. ツールとプロセスは断片化しています。
4. コンウェイの法則が働いています。

したがって、以下の戦略を採用すべきです。

過負荷、不一致、断片化が存在するなら、加速、協業、統合を推進すべきです。

これが私の意味するところです。

• 加速： これは、追加の努力や検討を要せずに実施できるサイバーセキュリティの取り組みを拡大することを意味します。
• 協働： これは、セキュリティ、IT、経営陣（C-Suite）間のギャップを埋める方法を見つける必要があります。ビジネス判断、ツール、プロセスを活用してサイバーリスクを測定し、セキュリティ成果を管理する方法を模索する必要があります。
• 統合： 私たちは敵対者の視点で考える必要があります。統一されたパターンと経路を念頭に置いて考えます。これらの経路とパターンを防御するために、チーム、ツール、プロセスを統合する方法を模索する必要があります。サイロを打破します。

これらの3つの戦略により、私たちのコンピューティング環境を防御する上で、望ましい目標を達成できると確信しています。

2025/4/16 - 読み終える時間: ~1 分

Spend Overview for Software Asset Management (SAM)の翻訳版です。

2025年4月9日
Aleksander Garstka
Product Manager

ソフトウェア資産と IT 経費の管理は、コストを最適化し、コンプライアンスを確保し、効率化を推進しようとする企業にとって、重要なものとなっています。支出概要ダッシュボードは、ソフトウェア支出、ライセンシング、および潜在的な節約に関する概要をユーザに提供するように設計されており、企業は意思決定を自信を持って行うことができます。

Spend Overview Dashboardが重要な理由

IT支出の追跡は、特に複数のソフトウェアパブリッシャ、多様なコストセンター、およびライセンシング要件を扱う場合、厄介なことがあります。

このダッシュボードがユーザにどのような利点をもたらすかについて説明します：

1. ソフトウェア支出の全体像

ダッシュボードは、ソフトウェア支出総額をハイライトし、主要なベンダーとコスト・カテゴリー別に分類します。ユーザーは、出費がどこから生じているかを特定できるため、情報に基づいた予算配分とコスト管理が可能になります。

2. 潜在的な節約の特定

機能の 1 つは、潜在的な節約の機会を発見する機能です。ソフトウェアの使用とライセンスの詳細を分析することによって、組織は、過剰に支払っている可能性のある領域を特定し、コストを最適化するための行動をとることができます。

3. コンプライアンスとリスク管理

ソフトウェアライセンスのコンプライアンスを維持することは、罰則を避けるために非常に重要です。ダッシュボードは、今後の更新やライセンス不足の製品に関する洞察を提供し、問題になる前に、企業がコンプライアンスのギャップに積極的に対処できるよう支援します。

4. スマートな意思決定のための支出内訳

ダッシュボードは、トップパブリッシャー、コストセンター、プロジェクト、およびカテゴリ別に支出を分類し、財務配分の追跡を容易にします。IT管理者が部門別の支出を評価する必要がある場合でも、プロジェクトベースの支出を評価する必要がある場合でも、この内訳によって透明性と説明責任を高めることができます。

5. 未管理およびコンプライアンス違反製品

組織は、未承認ソフトウェアのインストールやコンプライアンス違反の管理に苦慮することがよくあります。ダッシュボードには、未管理およびコンプライアンス違反製品専用のセクションがあり、注意が必要なソフトウェアを可視化できるため、チームは迅速に是正措置を講じることができます。

ビジネス上の価値

支出概要ダッシュボードは、ソフトウェア資産管理（SAM）にとって不可欠なツールであり、ソフトウェア費用と日常業務の監視を合理化します。支出、コスト削減の機会、コンプライアンス管理に関する明確な洞察により、企業はより賢明な財務上の意思決定を行い、より効率的に業務を行うことができます。

2025/4/16 - 読み終える時間: ~1 分

Software Asset Management - HCL BigFix Success Storiesの翻訳版です。

2025年4月9日
Aleksander Garstka
Product Manager

Software Asset Management (SAM)は、企業がソフトウェア・エコシステムを管理し、無駄を省き、 価値を最大化するためのソリューションとして登場しました。企業は常に、ソフトウェア・コストを最適化し、コンプライアンスを改善し、業務効率を高める方法を模索している。

しかし、SAMの成功とは実際にはどのようなものだろうか。この記事では、効果的なSAM戦略によってITランドスケープを変革し、コスト削減、リスク削減、効率化を実現した企業を紹介する。

ITコンサルティング会社、SAMで430万ドルのコストを500万ドルの利益に転換

ソフトウェア資産管理(SAM)チームは、HCL BigFixのインベントリ・ライセンス最適化機能によって、ある部門を黒字化することに成功しました：

430万ドルのコストセンターを500万ドルの利益センターに変えるのに十分なソフトウェアを取り戻すことができました。

ライセンスの最適化は、その部門の予算だけでなく、会社全体の収益にも大きな影響を与えました。

SAM 部門は、会社にどれだけの収益をもたらしているかという点で、トップセールスのサイロと競争できるようになりました」。

政府機関、SAM最適化でMicrosoft 365を300万ドル節約

Microsoft 365に投資を行う政府機関は、未使用ライセンスによる非効率性に直面していた。HCL BigFix Inventoryを導入することで、政府機関はMicrosoftポートフォリオのソフトウェア使用状況を可視化できるようになりました。

ライセンスの最適化により、未使用のリソースを特定し、再配分することで、パフォーマンスに影響を与えることなく300万ドルのコスト削減を実現しました。透明性が向上したことで、業務が合理化され、リソースが責任を持って使用されるようになりました。

グローバルな食品・飲料会社が監査を回避し、SAM で数百万ドルを節約

あるグローバルな食品・飲料会社は、頻繁な監査で知られるパブリッシャーのソフトウェアに年間 2,500 万ドルを費やしており、コンプライアンス違反の罰則によるリスクに直面していました。HCL BigFix Inventoryを導入することで、同社はソフトウェアポートフォ リオを可視化し、リアルタイムの追跡とコンプライアンスを実現した。

「自社が何を保有しているかがわかりました」

監査法人は、収益性の高い監査を確実に行うために、リスクの高い企業に焦点を当てます。HCL BigFixと強力なライセンス管理手法のおかげで、監査人は一貫してこの企業の監査を避けてきました。

「監査人は何年も当社を避けています。彼らは時間とお金を失うことを知っているのです」。

HCL BigFixによるソフトウェア資産管理(SAM)の変革力について考えてみましょう。コストセンターを利益創出源に変え、節約を達成することから、費用のかかる監査を回避し、コンプライアンスを確保することまで、様々な分野の組織がメリットを享受しています。

HCL BigFixのSAM機能は、ソフトウェア使用とコンプライアンス管理を通じて、様々なセクターで貴社のような組織が財務および業務の改善を達成するのに役立っています。

2025/4/10 - 読み終える時間: 2 分

Software Asset Management (SAM) Helps Reduce Software Wasteの翻訳版です。

2025年4月9日
Aleksander Garstka
Product Manager

ソフトウェア資産管理（SAM）とは？

ソフトウェア資産管理（SAM）とは、コンプライアンスを確保し、コストを最適化し、組織内の使用状況を監視するために、ソフトウェアライセンスを追跡・管理するプロセスです。インストールされているソフトウェアのインベントリを維持し、使用データを分析し、実際の消費量と権利を整合させて効率を最大化します。

主な市場の問題

ガートナー社によると、組織は年間ソフトウェア使用量の30％を無駄にしているという。これは、未使用のソフトウェア・ライセンス、不必要な更新、非効率的な購入によって失われる数百万ドルに相当します。

では、その資金を取り戻し、より有効に活用できるとしたらどうでしょうか？

HCL BigFixは、ライセンス管理[https://www.hcl-software.com/resources/stories?searchTerm=BigFix] (https://www.hcl-software.com/resources/stories?searchTerm=BigFix)を通じて、企業の資金回収を支援してきた実績があります。そして今、財務レイヤーをレポーティングに導入することで、これをさらに推し進めようとしています。

私たちの目標は？ソフトウェア資産管理（SAM）チームに、より深い洞察と戦略的コントロールを提供することです。ユーザーの視点から、その意味するところを見てみましょう。

他のツールとHCL BigFixの比較

多くのSAMツールは、非アクティブなソフトウェア、未使用のライセンス、非準拠のバージョンなどの問題を特定することだけに焦点を当てています。検出は重要な第一歩ですが、ソフトウェア最適化のROI方程式の一部に過ぎません。真に価値を最大化するためには、企業は単なるレポーティングにとどまらず、非アクティブなタイトルのアンインストール、シェルフウェアの自動導入、コンプライアンス問題のパッチ適用など、実行可能なステップを踏むツールが必要です。完全なソリューションは、単に問題を浮き彫りにするだけでなく、積極的に問題の解決を支援します。

問題の特定に留まる従来のツールとは異なり、当社のツールは、組み込みのソリューションを提供することで、チームがレポートをまとめるだけでなく、即座に行動できるよう支援します。

使用例

HCL BigFixが実際の現場でどのように機能しているのか、チームがどのようにHCL BigFixを使って洞察を行動に移しているのか、いくつかの例をご紹介します。ソフトウェアコストの削減からコンプライアンスと効率の改善まで、HCL BigFixが企業のソフトウェアポートフォリオの管理を支援する実践的な方法を紹介します。

1. ベンダーの支出と更新に優先順位をつける

中堅金融会社のSAMマネージャーであるサラは、数え切れないほどのソフトウェア資産とベンダーの管理に追われている。HCL BigFixの財務レポートにより、彼女は3つのソフトウェアベンダーが予算の65％を占めていることを発見しました。彼女はこの洞察を利用して、SAMの優先順位を戦略的に計画し、最も財務的な影響を与える未使用のソフトウェアを見つけ出します。IT オペレーションズと協力し、HCL BigFix を活用して未使用のアプリケーショ ンを削除し、更新の議論の前に必要なソフトウェアだけが残るようにした。

2. コスト削減の進捗管理

大手小売企業のITディレクターであるジェームズは、今後1年間でソフトウェアコストを15％削減することを目指しています。HCL BigFixを利用することで、彼は月次と前年比（YoY）の進捗を追跡し、チームが目標に到達できるようにしている。半年で5％のコスト削減を達成した彼は、さらなる最適化を推進するための確証と実行力を手に入れた。

3. 意思決定のためのベンチマーク価格

SAMのスペシャリストであるエマは、ある部門がプロジェクト管理ツールに過剰なコストを支払っていることを発見した。価格をベンチマークすることで、彼女は同じ機能でより低コストの代替ツールを提唱し、年間50万ドルのコスト削減を実現した。承認されると、IT オペレーションズは HCL BigFix を使用して新しいツールを導入し、古いツールを削除する。

4. ソフトウェアの不正使用を防止

マーク氏は政府機関のコンプライアンス担当者です。HCL BigFixのソフトウェアカテゴリ情報のおかげで、彼は人事部がグラフィックデザインソフトウェアを使用していることをすぐに発見しました。HCL BigFixのソフトウェアカテゴリ情報のおかげで、彼はすぐに人事部がグラフィックデザインソフトウェアを使用していることを発見し、HCL BigFixを使用して不正なデバイスからソフトウェアを削除し、適切なチームにソフトウェアを再配布するITオペレーションと協力しました。

5. 組織効率の改善

ハイテク企業の調達リーダーであるDavid氏は、自社のソフトウェア投資の価値を最大化したいと考えています。HCL BigFixを使用して、彼はソフトウェアのコストと実際の導入状況を比較し、ある地域で分析ツールのパフォーマンスが低いことを発見しました。彼は部門長と協力して問題の対処を推進します。

ソフトウェアポートフォリオの管理者になる

従来のSAMとソフトウェアインベントリツールは、ライセンス契約を追跡し、ソフトウェアの使用状況を監視し、非効率を見つけることができますが、そこで止まってしまいます。

HCL BigFixはさらに一歩進んでいます。SAMをエンドポイント管理と組み合わせることで、ソフトウェア製品のデプロイ、使用されていないアプリケーションの削除、ライセンスコンプライアンスの実施を、すべてリアルタイムで行うことができます。

HCL BigFix SAMツールを使えば、ソフトウェアを追跡するだけではありません。ITの最適化、無駄の削減、ROIの最大化を実現します。ソフトウェア・ポートフォリオの管理については、今すぐお問い合わせください。