IBM、セキュリティ専門家とエシカルハッカーで構成するセキュリティテストグループ「X-Force Red」を結成:オンデマンド型の脆弱性発見サービスを提供
米IBMセキュリティーが、セキュリティの専門家とエシカル・ハッカー・グループ「IBM X-Force Red」を結成。「アプリケーション」「ネットワーク」「ハードウェア」「ヒューマン」の4分野のセキュリティ対策とテストに重点を置き、オンデマンド型の脆弱性発見サービスを提供する。
米IBMセキュリティーは2016年8月2日、セキュリティの専門家とエシカルハッカー(高い倫理観と高度な技術を持つハッカー)で構成するセキュリティテストグループ「X-Force Red」を結成したと発表した。米国や英国、オーストラリア、日本など、世界数十カ所を拠点とした数百人の専門家を抱えるグループで、侵入テストの専門家である同社のチャールズ・ヘンダーソン氏が率いる。
X-Force Redに所属する専門家は、これまで世界の大手企業や政府機関に対して、侵入テストやエシカルハッキング、ソーシャルエンジニアリング、物理的なセキュリティテストなどを実施してきた。医療、金融サービス、小売、製造、公共など複数の分野にわたって専門知識を提供する。
IBMによると、企業資産に対する攻撃は右肩上がりで増えており、2015年のセキュリティインシデントは、前年比で64%増加したという。X-Force Redの目的は、企業に、自社システムのネットワーク、ハードウェア、アプリケーションに脆弱(ぜいじゃく)性があることを、サイバー犯罪者よりも早く発見できるよう支援すること。同時に、日常の業務プロセスや作業手順に潜む人為的な脆弱性についても精査する。
アプリケーション分野では、Webアプリケーションやモバイルアプリケーションからメインフレーム、ミドルウェアも含めて、ソースコードレビューや侵入テストを行うことで脆弱性を調査する。ハードウェア分野では、サーバやネットワーク機器、クライアントの他に、IoT(Internet of Things)システムやウェアラブル端末、PoS(Point of Sales)システム、セルフレジ端末、ATM(現金自動預け払い機)システム、自動車システムなども対象とする。
こうしたセキュリティサービスを企業向けに、「個別プロジェクト」「サブスクリプションベーステスト」「マネージドテストプログラム」という3つのモデルで提供する。サブスクリプションモデルでは、月額課金制で特定のテストに限定せずにサービスを受けられる。マネージドテストプログラムは、セキュリティ専門人員のない組織に向けて、X-Force Redへそれらの専門業務を依頼できるモデルとなる。
IBMはX-Force Redのサービスにより「企業はセキュリティコストを柔軟に制御できるだけでなく、アプリケーション/ネットワーク展開のライフサイクル全体にわたる脆弱性調査と管理を含めた、オンデマンド型の強力なテスト体制を整えることができる」と述べている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
IBM、“Watson”を使うセキュリティサービス「Watson for Cyber Security」を発表
IBMが、セキュリティについて訓練されたWatsonのクラウド版「Watson for Cyber Security」を発表した。高度化するサイバー攻撃対策と、セキュリティ要員のリソース/スキル不足をWatsonの認知技術でカバーする。
地の利を得る攻撃者たちに、ソフトウエア開発者はテストで立ち向かえ
クラウドやIoTの普及とともに、ソフトウエアは一層複雑さを増し、攻撃者たちはますますアドバンテージを得つつある。ソフトウエア開発者はこの状況にどのように立ち向かえばよいのだろうか。近年、セキュリティソリューションの拡充に力を入れるシノプシスのマーケティング担当バイスプレジデントで、2015年4月にシノプシスに買収されたCodenomiconの元CEO デビッド・シャルティエ氏に、セキュリティテストにおいて開発者が留意すべき事項と具体的な対策について聞いた。
仮想化されたセキュリティ機能をテストする
仮想化はクラウドへの移行を後押しする大きな理由になりますが、それに伴って生じるセキュリティやパフォーマンスへの影響を、慎重に考慮しなければなりません。この記事では、そのリスクを可視化し、うまく制御していく方法を紹介していきます。(編集部)