日本IBMは2017年6月21日、グローバルで展開するセキュリティサービス「IBM X-Force IRIS(Incident Response and Intelligence Services)の提供を開始した。インシデント発生の事前対応に重きを置いたサービスとなっている。
IBM X-Force IRISは、世界で100名以上のサイバーセキュリティ・コンサルタントが所属し、2016年9月にグローバルでサービスを開始している。日本語化などローカライズ対応を終え、日本からも海外支店などの事故対応を含めた統合的なサービスとして提供されることになった。
日本IBMが、IRISが「従来のセキュリティ対策と異なる点」として上げているのが、「能動的(Prpactive)な対応」であることだ。従来は、攻撃を受けたことがわかってからセキュリティリソースを投資する「受動的(Reactive)な対応」であったのに対し、IRISは攻撃を受ける前の事前対応が主眼となる。
IRISでは4つのサービスで構成されている。それが「X-Force IRIS Vision Retainer(インシデント・レスポンス支援サービス)」「Active Threat Assessmentサービス」「Incident Response Planningサービス」「Cyber Security対応Trainingサービス」だ。このうちIncident Response Planningサービスの国内での提供は2018年以降を予定している。
X-Force IRIS Vision Retainerは、インシデントの発生前から発生後初期までをカバーする。サービス提供範囲はインシデント発生前の事前対応、発生後の初動、分析・報告、初期対応まで。特に重視しているのが、インシデント発生を想定した事前対応だ。
X-Force IRIS Vision Retainerのサービス対応範囲(出展:日本IBM)拡大画像表示
まずは①標準の事前セッションとして初回のキックオフおよび定期セッションを行う。キックオフではサービス内容の説明からインシデント対応支援をIBMに要請するための手順の確認、インシデント対応支援に向けたディスカッションを行う。定期セッションでは、キックオフで設定された手順や連絡先、基本情報のアップデートなどを確認する。
②インシデント対応ガイドアセスメントでは、ユーザーがすでに作成しているガイドを、IBMのインシデント対応プロフェッショナルの知見でアセスメントする。最適な初動が実施できるガイドへとアップデートする。
③インシデント対応技術セッションは、インシデント関連の技術的な不安を解消するためセッション。技術的な懸念や疑問をIBMのインシデント対応プロフェッショナルの知見により解消し、いざという時に備える。
④インシデント対応机上訓練は、想定シナリオに基づきインシデント対応プロセスを確認するための訓練。企業のインシデント対応組織であるCSIRTのメンバーが主な対象で、シナリオに基づいたインシデント対応の机上実践で、攻撃によって受けるビジネス上の被害を体験、学習する。経験値を積むことで、インシデント発生時に的確な対応をできるようにするのが狙い。
ここまでがすべて事前対応のサービスとなっている。インシデント発生後のサービスは⑤インシデント対応支援。セキュリティインシデントが発生した際にIBMに対応支援を要請すると、IBMプロフェッショナルが電話のコールバックによる状況確認および初動の助言を行う。また、現地にIBMプロフェッショナルが訪れてのインシデント対応支援も行う。
X-Force IRIS Vision Retainerは、グローバルでの対応が可能で、日本に本社を置く企業の海外支社にインシデントが発生した場合、本社の契約に基づき現地のIBMのIRISチームが対応する。日本もまた、グローバル対応の一角に組み込まれており、例えば海外企業の日本法人にインシデントが発生した場合、本国からの要請に応じて日本IBMが対応するほか、他国からもプロフェッショナルを招集する場合もあるという。
Active Threat Assessmentサービスは、インシデントの発生を待たずに、現時点での企業内PC環境の健康状態を検査するもの。インシデント発生が詳らかになってからでは遅い潜伏状態のマルウェアの早期発見、攻撃の痕跡の発見などが目的となっている。
Active Threat Assessmentサービスの概要(出展:日本IBM)拡大画像表示
CSIRT研修サービスは、CSIRTの概要やインシデント対応の概要をインシデント対応の専門家が教示するサービスで、4日間のカリキュラムが用意されている。メニューは2018年以降に拡張する予定となっている。
