New Relic、脆弱性管理機能を一般提供–セキュリティを可観測性に統合

　New Relicは2月9日、アプリケーションの脆弱性を管理する「New Relic Vulnerability Management（脆弱性管理）機能」の一般提供を開始した。同機能は2022年10月にパブリックプレビューが発表されていた。

代表取締役社長の小西真一朗氏は、日本の92社を含む全世界14カ国約1620人のITの意思決定者と実務担当者を対象に実施した可観測性についての調査結果を引用し、日本の経営幹部の80％は関心があるとする一方で、回答者全体の52％が「ツールは一本化したい」と答えたと述べた。さらに、可観測性プラットフォームに期待されることとして、クラウドネイティブなアーキテクチャーの開発、セキュリティやコンプライアンスへのさらなる注力が挙げられたという。

これらの結果を受けて、New Relicは、セキュリティ領域へのさらなる注力に向けた同社プラットフォームに対する「脆弱性管理機能の追加」、単一プラットフォームでの可観測性の実現を後押しするための「パフォーマンスとスケーラビリティーの改善」、さらに「国内外テクノロジーエコシステムの拡大」といった強化を実施すると小西氏は語った。

脆弱性管理機能は、「New Relic」が既に搭載する30を超える可観測性機能に自動的に追加される。New Relicが検知した脆弱性情報とサードパーティーのセキュリティ情報を「Telemetry Data Platform（TDP）」に統合し、各種企業システムに対する遠隔監視でのデータを単一のツールに集約して管理できる。開発、セキュリティ、運用を担当する各チームは、サイロ化されたツールを切り替えることなく、アプリケーション上のセキュリティ問題を管理できるようになる。

New Relicの脆弱性管理機能の主な特徴は、追加設定不要で脆弱性を把握できるようにする。アプリケーションのソフトウェア構成全体のリスクを評価するための継続的なランタイムソフトウェア構成分析（SCA）を可能にする即時的かつ実用的なセキュリティ情報を追加設定することなく取得できる。

新たな脆弱性のテスト機能として、K2 Cyber Security買収によって追加された「Interactive Application Security Testing（IAST）」機能が限定試行版として提供される。

TDPにおける各種セキュリティ情報の連携方法は、「埋め込み型クイックスタート」機能を使用して公開されているサードパーティーのセキュリティ情報をRelic側に登録するか、あるいは、New Relicの「セキュリティAPI」を使用して任意のソースから情報を取り込む。現在、連携可能なものは「Snyk」「Lacework」「GitHub Dependabot」「AWS Security Hub」「Aquasec Trivy」などという

この機能では、脆弱性のリスクに応じて対応の優先順位付けを自動的に行える。サービスカタログと関連付けられたソフトウェア構成全体のセキュリティリスクを評価する。新たに公開された脆弱性情報のアラートにも対応し、「Slack」や「Webhook」経由でユーザーに通知する。

執行役員 最高技術責任者（CTO）である松本大樹氏は、脆弱性管理機能では、アプリケーションのライブラリーの脆弱性を対象にしていると説明する。同氏によると、脆弱性管理について企業に話を聞くと、ツールを導入して脆弱性管理をしているものの、OSやミドルウェアのライブラリーまでという場合が多く、アプリケーションのライブラリーまで把握しているのは少ないという。

ユーザーのアプリケーションに使われている以外のライブラリーついては、顧客が既に導入している脆弱性管理ソリューションとNew Relicの連携で対応する。それにより、アプリケーションからインフラストラクチャーまでのシステム全体で脆弱性を単一のソリューションで把握することが可能になるとした。

エコシステムの拡大とスペック強化

New Relicのエコシステムの拡大については、テクノロジーパートナーエコシステムが前年対比で25％拡大したという。New Relicは現在、500以上のクラウドサービス、オープンソースツール、エンタープライズテクノロジーを提供するテクノロジーパートナーと連携。Atlassian、Amazon Web Services（AWS）、CircleCI、Confluent、JFrog、Snyk、「Jenkins」などの開発ツールから新たに提供されたクイックスタートに関する資料もオープンソースカタログに追加したという。

また、New Relicは、可観測性の民主化をミッションとしていることから、全てのエンジニアが可観測性をすぐに実践できるようにするため、「New Relic I/O」と呼ばれるエコシステムも用意している。

New Relicでは、「New Relic University」と呼ばれるハンズオンのトレーニングプログラムを提供しているが、可観測性の習熟度を測るための「Full Stack Observability」試験の日本語版もリリースした。合格者にはデジタル認定証が与えられる。

スペックの強化については、データストア「Data Plus」がスケーラビリティーにおいて従来比で3倍のデータ量の検索と10倍の時間の検索実行に対応した。セキュリティについては、脆弱性管理機能、ログデータの難読化、米国政府規制の「FedRAMP」や「HIPAA」に対応した。ガバナンスという観点では、90日間のログ保持期間延長をデフォルトで含み、データの外部出力、クラウドプロバイダーの選択が可能となった。

New Relicのビジネス状況

小西氏によると、New Relicは製造・運輸、金融・通信、流通・小売、IT・サービス、メディア・エンターテイメントといった業界の企業に導入されており、国内で可観測性の普及が進んでいるという。その背景として、「システムがビジネスそのもの」であることを同氏は挙げる。

「システムがビジネスそのものである以上、システムを観測・制御する技術である可観測性は、全ての企業が経営戦略の一端として当然のように取り入れていくべきものであるということ」（小西氏）

New Relicは、テクノ・システム・リサーチの調査によると、2021年国内可観測性市場SaaS提供型の売り上げシェアでトップとなり、39%を獲得したという。ユーザー数は、2021年9月の5000ユーザーから1万6000ユーザーに増加。2025年までに5万ユーザーを獲得という戦略目標に向けて「力強く前進をしている」（小西氏）という。

ユーザー企業も可観測性でデジタル変革（DX）を加速しているという。AbemaTVは、2022年にサッカーワールドカップで全試合を生放送し、開局史上最大のトラフィックに対処している。「Cloud Center of Excellence（CCoE）」チームを立ち上げてクラウド共通基盤「TORO」をリリースしたトヨタ自動車、コロナ禍でのオンラインビジネスが急成長している三越伊勢丹グループの三越伊勢丹システム・ソリューションズなどがある。