日々、脅威の深刻さが増すサイバーセキュリティ。できる限りの対策を講じるのは当然とはいえ、何にいくら投資すればいいのか判断しにくい点が悩ましい。この点にメスを入れるべく、NIインテリジェントイニシアティブは犯罪捜査の視点から、セキュリティリスクを可視化するサービスを提供する。
企業の社内ネットワークや公開ネットワークに対して、攻撃者の視点で疑似的に攻撃を仕掛け、脆弱性を調べる「ペネトレーション(侵入)テスト」。自社のセキュリティ対策の問題点やシステムの脆弱性を把握するのに有効な手段だが、社員や情報(データ)にまで目配りできるかというと、その点が弱い。
そんな中、攻撃者ではなく、犯罪捜査の視点でサイバー攻撃に対する現状を俯瞰的に把握するサービス「C3」(図1)を、セキュリティ専門企業のNIインテリジェントイニシアティブ(NI3)が提供開始する。特徴は、データの損失や破壊の有無や社員などユーザー側の異常を調べるなど、企業内部の脅威の可視化に焦点を合わせたこと。「セキュリティに関する悩みの種である『セキュリティ投資にどこまで、いくらかけたらいいのか』を検討する材料を提供したい」(NI3の西野弘会長)。
拡大画像表示
C3は、エンドポイントの調査である「C-Audit」、社員・パートナー向け意識調査「CVT」、ベンチマーク調査「CREATe」からなる。このうち中核と位置づけるC-Auditでは、サイバー犯罪捜査に関する知識体系「CIBOK」に則って、企業のパソコンやサーバーなどエンドポイントを調査する。
実際にはエンドポイント1台1台でスクリプトを実行し、ユーザーのログイン履歴やプロセスの起動履歴、ファイルやディスクの履歴、通信相手、利用プロトコル、USBメモリーの共有状況のログを取得して、異常の有無などリスクを調べる。利用者が意識しない形でスクリプトを実行し、1台あたりに要する時間も数分程度で済む。その上でCIBOKなど犯罪捜査のノウハウを用いて、収集したデータからサイバー犯罪の兆候につながり得る行為を関連づけし、分析する。さらに分析結果を点数化し、結果をセキュリティの非専門家にも分かる形で可視化する(図2)。
拡大画像表示
「C-Auditは、米国で起きた500件の犯罪調査の知見をもとに開発した。企業の部門毎にリスクを評価するので、すべてのエンドポイントを一律にではなく、メリハリをつけてどう対策をとればいいかを推奨できる」(同)。これがセキュリティ投資額を検討する材料になるという。個人情報などは当然、取得されないが、OSアップデートの状況やソフトウェアの使用状況など資産管理もできる。対象とするエンドポイントのOSは現時点ではWindows系のみだが、MacOSやLinux、AIX、HP-UXなどのOSにも順次対応する。
一方、CVTはNI3提携先である英C-View Technologiesが提供する社員・パートナー向けの意識調査サービス。社員などに対してWebを経由したヒアリングや調査を実施し、セキュリティポリシーの浸透や遵守状況を把握することができる。社員同士や部門同士の比較も可能だ。
もう1つのCREATeは、米国国立標準技術研究所(NIST)のフレームワークに基づくベンチマーク調査。日本ではあまり知られていないCREATeだが、サイバーセキュリティや知財保護などトレードシークレット(営業機密)分野の専門家が組織した非政府組織である。自社のセキュリティの水準を一定程度推定できるため、やはり投資の判断に役立つ。
NI3は「C3」の顧客として主に大企業を想定しており、利用料金はエンドポイントの台数とは無関係に数年2回のアセスメントサービスを実施するケースで年間1000万円程度。今後、中堅・中小企業向けや業界団体向けの料金も検討する計画である。