東陽テクニカは2017年3月7日、セキュリティソリューション「CyberFlood」および「SecurityLabs」に関する説明会を実施した。
東陽テクニカは2017年3月7日、同社が2016年に拡充した米Spirent(以下、スパイレント)のセキュリティソリューション「CyberFlood」および「SecurityLabs」に関する説明会を実施した(関連リンク:東陽テクニカ)。
ネットワーク/セキュリティ機器やバックエンドサーバに対するパフォーマンステスト、セキュリティテストに加えて、米国のセキュリティ専門家による脆弱(ぜいじゃく)性評価、ペネトレーションテストサービスを提供する。
スパイレントは、ルーターやファイアウォール、IDS/IPS、ロードバランサといった各種ネットワーク/セキュリティ機器やバックエンドサーバに対するパフォーマンステスト用アプライアンス製品「Avalanche」を提供する米国企業。2016年7月に、Avalancheにアドオンする形で利用可能な「CyberFlood」をリリースした(併せて東陽テクニカが国内提供開始)。
CyberFloodは、各種の機器やアプリケーションに対して疑似的なサイバー攻撃を仕掛けることで、既存のセキュリティ対策が目的通り機能するかをテストできる製品。操作は全てブラウザベースで行える。
疑似的な攻撃としては、(D)DoS攻撃や各種のエクスプロイト攻撃、検体を使ったマルウェア攻撃の他、「グローバルIPセレクタ」と呼ばれる機能による“任意のロケーションからの攻撃”など、レイヤー4〜7にわたるさまざまな種類のものが再現できる。また、ZigBeeやLTE、CAN(Controller Area Network)といった各種の通信プロトコルにも対応しているため、IoTシステムのテストにも応用可能だ。
説明会に合わせて来日したスパイレント アプリケーション&セキュリティ事業部 ジェネラルマネージャ ジョン・ウェインシェンク(John Weinschenk)氏は、「パフォーマンスを優先し過ぎれば、セキュリティがおろそかになる。一方で、セキュリティを重視し過ぎれば、QoE(Quality of Experience)が損なわれる。その間の最適解を見つける上で、パフォーマンステストからセキュリティテストまでを1製品で完結させられる本製品にはメリットがある」と述べた。
「SecurityLabs」は、セキュリティ専門家による各種システム、機器に対する脆弱性評価およびペネトレーション(侵入)テストサービスだ。プロジェクト計画から始まり、実際のテスト(評価と診断)、レポート提出と3つのフェーズにわたって実施される。レポートは上位層向けのサマリーレポートから、より現場向けの詳細レポートまで、3種類が提示される。
日本国内でも同様のサービスを提供する企業はあるが、ウェインシェンク氏によれば、米国という“セキュリティの主戦場”で10年以上にわたり経験を積んだプロフェッショナルたちがコンサルティングからテストまでを実施する点に強みがあるという。特に、日本国内ではまだ事例の少ないIoT機器や自動車に対するテストの実績を持っている点が特長だそうだ。また、サービスの提供に当たっては東陽テクニカのコンサルタントが仲介に入るため、言語上の問題も意識する必要はないとのこと。
「世界的にセキュリティ人材の不足が問題となっている。われわれのような専門家が協力することで、企業が頭を抱えているスキルギャップの問題、脆弱性の問題を解決できればと考えている」(ウェインシェンク氏)
Copyright © ITmedia, Inc. All Rights Reserved.