ベライゾンがセキュリティリスクを定量化、サプライチェーンのリスクも見える:製造ITニュース
ベライゾンは、新開発のセキュリティアセスメントフレームワーク「ベライゾンリスクレポート(VRR)」を発表。セキュリティリスクの状態を示すスコアや、スコアに対応するセキュリティコストなどを分かりやすく“見える化”するレポート機能が最大の特徴だ。
ベライゾン(Verizon)は2018年3月28日、新開発のセキュリティアセスメントフレームワーク「ベライゾンリスクレポート(以下、VRR)」を発表した。全世界のインターネットトラフィックの70%をカバーするという同社の広大なIPバックボーンから得た知見と機械学習などの最新技術を組み合わせ、セキュリティリスクの状態を示すスコアや、スコアに対応するセキュリティコストなどを分かりやすく“見える化”するレポート機能が最大の特徴。日本国内では同年4月14日から受注を始める予定だ。
同社 アジアパシフィック サイバーセキュリティ 最高責任者のジョン・ハインス(John Hines)氏は「セキュリティ全体を取り巻く状況が大きく変化している。IoT(モノのインターネット)をはじめエンドポイントは急増する一方で、サイバー犯罪は大きなビジネスと化し、サイバー攻撃者は企業の知財や顧客データ、重要インフラ、金融資産をはじめ全てのものを攻撃対象にしている」と語る。
セキュリティに関する問題が複雑になるとともに、セキュリティ関連の人材確保も難しくなっている。関連規制は厳しくなり、企業が守るべき範囲も広がっている。「従来の基礎的なセキュリティだけで対応を続けていくのは困難だ。技術のみならず、人やプロセスが重要な役割を果たすようになっており、その企業自身だけでなくサプライチェーンに関わる企業や利用しているクラウドについてもセキュリティを検討しなければならない。そのためには、ベストプラクティスに基づく標準的な手法ではなく、リスクに基づく戦略的な手法が必要だ。そしてセキュリティの問題は、もはや情報システム部門だけのものではなく、経営幹部レベルがきちんと理解しておくべきものになっている。ITリスクではなく、企業リスクなのだ」(ハインス氏)という。
3つのレベルで進める導入プロセス
これらのセキュリティの課題に対して、VRRは「定量化」のアプローチをとっている。企業が扱うデータを分析してサイバー関連のリスクを定量化した後、脅威情報を機械学習にかけることで脆弱性を低減するとともに、サイバー攻撃への検出能力や即応性を高められるとする。
VRRの具体的な導入プロセスは「アウトサイドイン・ビュー」「インサイドアウト・ビュー」「カルチャー&プロセス・ビュー」という3つのレベルに分けられている。レベル1の「アウトサイドイン・ビュー」では、ビットサイト(BitSight)のセキュリティレーティングサービスやレコーデッドフューチャー(Recorded Future)のディープウェブやダークウェブの情報と併せて外部評価を実施する。「ベライゾンが蓄積してきた約11年のセキュリティサービスのノウハウも活用する」(ハインス氏)という。
レベル2の「インサイドアウト・ビュー」では、ユーザー企業の社内システムの内部分析を行う。サイランス(Cylance)とタニウム(Tanium)を用いたソフトウェアセンサーをエンドポイント上に展開することで、より高精度な内部リスクの評価が可能になる。また、このレベル2では、ユーザー企業が属する業界特有の傾向なども分析可能になるという。
そしてレベル3の「カルチャー&プロセス・ビュー」で、ユーザー企業の組織的行動、文化、プロセスなどに対する定性的評価を行い、レベル1と2の情報と統合することにより、全方位の視点を持ったセキュリティの取り組みが可能になる。
また、VRRの画面も経営幹部に対する「見える化」を意識した分かりやすい構成になっている。現在のセキュリティスコアの表示に競合他社と比較を示したり、セキュリティの改善ポイントをドリルダウンで確認できたり、セキュリティの強化に向けての投資判断をしやすくするため領域ごとにA〜Fのスコア付けをしたりしている。
VRRの導入には、レベル1で数日、レベル2で2週間〜1カ月ほどかかる。レベル3はレベル2と同時並行で行う。「最速で数カ月で導入が完了する」(ハインス氏)という。
日本におけるセキュリティサービス事業を3年間で4〜5倍に拡大へ
ベライゾンと言えば、米国の通信キャリアとして知られているが、セキュリティサービスも展開している。日本法人・ベライゾンジャパン 執行役員 社長の藤井一弘氏は「調査会社の第三者評価では、マネージドセキュリティでは通信キャリアの中でトップの評価を得ている。今回のVRRは、その経験から培ったものを新たなサービスと提供するものだ」と説明する。グローバルで9カ所のサイバービジネスセンターを展開し、約2000人がセキュリティサービス事業に従事している。
VRRの発表を契機に、日本国内におけるセキュリティサービスの事業展開も広げていく構えだ。「グローバル対応が求められている製造業を中心に、既に多くの引き合いをいただいている。対応力を強化するため人員の増強などを進めている」(藤井氏)という。
特にVRRについては、製造業への提案活動を積極的に進めていく方針だ。藤井氏は「製造業はサプライチェーンを構築するために、さまざまな企業とネットワークでつながっている。VRRは、そういった社外の企業とのつながりに関するセキュリティリスクも評価できる。2018年4月からの提供は英語版だが、多言語対応のロードマップに日本語版も入っている。VRRを皮切りに、ベライゾンの日本におけるセキュリティサービス事業を2018〜2020年の3年間で4〜5倍に引き上げたい」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
IoT時代の安心・安全に組織面の対応が重要となる理由
製造業がIoT(モノのインターネット)を活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第1回は、技術面以上に、なぜ組織面での対応が重要となるのかについて説明する。
ITとOTの組織連携はどうすれば進められるのか
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第2回は、製造業にとって重要なIT(情報システム)とOT(制御システム)の組織連携の進め方について説明する。
WannaCary騒動がもたらしたセキュリティへの「経営層の理解」をもう1段階進める
製造業がIoTを活用していく上で課題となっているのが、サイバーセキュリティをはじめとする安心・安全の確保だ。本連載では、安心・安全を確立するための基礎となる「IoT時代の安全組織論」について解説する。第3回は、日本が特に低いとされる、経営層のサイバーセキュリティに対する理解をどのように高めていくかについて説明する。
サイバー空間の脅威の変遷とその対策からIoTセキュリティを学ぶ
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第1回では、サイバー空間の脅威の変遷とその対策から、IoTセキュリティがどういうものかを考えます。
IoTデバイスが抱えるセキュリティリスクをひもとく
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第2回は、エッジ層におけるIoTデバイスのセキュリティに注目し、その特性を踏まえたセキュリティ上の課題と対策の方向性を考察します。
IoTデバイスのセキュリティに不可欠な要素とは
あらゆるモノがインターネットにつながるIoTがサイバー攻撃者にとっての新たな標的になりつつあります。本連載では、セキュリティを意識したIoTデバイス設計の勘所を解説します。第3回は、市場に出荷されてからその役割を終えるまで一連のライフサイクルで、IoTデバイスを適切に保護し続けるためのセキュリティ設計のポイントを解説します。