NECは2021年6月29日、システムのセキュリティリスクとその対策効果を可視化する「サイバー攻撃ルート診断サービス」を提供開始した。現状のシステムのリスク分析を実施し、セキュリティリスクの全体像と、なかでも危険度が高く対応を優先すべきリスクを明らかにする。セキュリティ対策を実施した際の危険度の変化も可視化する。価格(税別)は個別見積り(250万円から)。NECは、今後3年間で240社への提供を目標にする。
NECの「サイバー攻撃ルート診断サービス」は、システムのセキュリティリスクとその対策効果を可視化するサービスである(図1)。仮想モデル上でシミュレーションを実施し、分析を行う。実環境に影響なくリスクを把握できる。
図1:「サイバー攻撃ルート診断サービス」の概要(出典:NEC)拡大画像表示
NECが開発した「サイバー攻撃リスク自動診断技術」を活用し、従来の製品・サービスでは難しかった、システム上に存在する実際に攻撃可能なルートを網羅的に検出する。さらに、それぞれの危険度を可視化し、リスクの高いルートを明らかにする。
分析結果は、「分析シート作成自動化技術」に列記してある全攻撃ルートをセキュリティ専門技術者が分析し、理解しやすい形の報告書に整理して提示する。
検出したすべての攻撃可能なルートに対して、対策効果を計算する。セキュリティ対策を実施した場合の、システム全体のリスク値の変化を可視化する。対策の効果を把握できる。セキュリティ対策を優先すべき箇所を把握したり、対策の妥当性を判断したりできる。
なお、NECは、2019年から先行して複数のユーザーと検証を進めており、リスク分析や対策効果可視化の有用性を確認済み。
サービス投入の背景としてNECは、テレワークやクラウドサービスが急速に進んでいる一方で、サイバー攻撃による被害が深刻化している状況を挙げる。「セキュリティリスクへの対応をすばやく正確かつ効率的に行うためには、システムに内在するリスクとその危険度を理解し、対策の効果や妥当性を判断できることが求められる」(同社)
