日本IBMは2017年7月4日、セキュリティーの専門家とエシカル(倫理的な)ハッカーによるグローバル組織の集団である「IBM X-Force Red」が、日本で新しいセキュリティテストサービスを開始したと発表した。セキュリティのエキスパートが包括的なテストサービスを提供する。
日本IBMの「IBM X-Force Red」は、IBMセキュリティーサービスに所属する。企業がコンピューターネットワーク、ハードウェア、ソフトウェアアプリケーションの脆弱性をサイバー犯罪者よりも迅速に発見したり、ハードウェアやIoT(Internet of Things)が有する脆弱性を発見できるように支援する。日常のプロセスや手順に潜むヒューマンセキュリティの脆弱性などについても検査する。
アプリケーション、ネットワーク、ハードウェア/組み込み機器、ヒューマンの4つの分野でセキュリティテストを実施する。
アプリケーションでは、手動ペネトレーションテスト、ソースコードレビュー、Web・モバイル・サーバー・端末・メインフレーム・ミドルウェアの脆弱性診断を行う。
ネットワークでは、手動ペネトレーションテスト、内部・外部・無線・SCADA(監視制御システム)の脆弱性診断を行う。
ハードウェア/組み込み機器では、IoT・ウェアラブルデバイス・POS・ATM・自動車やビデオなどのシステムを対象としてセキュリティテストを行う。
ヒューマンでは、フィッシングキャンペーン、ソーシャルエンジニアリング、物理的なセキュリティ違反のシミュレーションを実施し、人間の行動によるリスクを判断する。
提供形態には、「プロジェクトタイプ」「サブスクリプションタイプ」「マネージドタイプ」の3つのモデルがある。
プロジェクトタイプは、期間やスコープを限定し、1回だけ実施したい場合に適している。
サブスクリプションタイプは、12~36カ月以上の期間にわたるテストが必要な場合に適切である。自社内で検査要員を保有し実施する場合に比べて管理オーバーヘッドを抑えられ、オンデマンドのセキュリティテストも可能にする。最初にテストターゲットまたはテストタイプを定義せずに、必要に応じてテストすることが可能だ。
マネージドタイプは、専門家メンバーが包括的に対応し、テストターゲットの特定、テストの優先順位付け、適切なテストレベルの選択を含めて、テストタスク全体を支援する。
「IBM X-Force Red」が提供するサービスの価格は、個別見積になる。
