[新製品・サービス]

サイバー攻撃のリスクを技術視点で可視化するアセスメントサービス―SecureWorks Japan

2017年12月6日(水)日川 佳三(IT Leaders編集部)

SecureWorks Japanは2017年12月6日、サイバー攻撃のインシデントに対処する仕組みを構築しているかどうかを調べるアセスメントサービス「サイバーセキュリティ・リスクアセスメント・サービス」を発表、同日提供を開始した。一般的なアセスメントサービスとの違いは、ネットワーク構成の弱点など、技術的で具体的な視点でセキュリティ上のリスクを把握できることである。

写真1●SecureWorks Japanのセキュリティ&リスクコンサルティングでシニアマネージャを務める三科涼氏写真1●SecureWorks Japanのセキュリティ&リスクコンサルティングでシニアマネージャを務める三科涼氏
拡大画像表示

 「標的型攻撃などのインシデントは必ず起こる。必ず起こるのだから、組織として常に備えていなければならない。インシデントの発生に向けて、あらかじめ用意している事前対策や事後対策などの対策が効力を持つかどうかを、きちんと検証しておかなければならない」―。SecureWorks Japanのセキュリティ&リスクコンサルティングでシニアマネージャを務める三科涼氏は、サイバー攻撃に備えることの大切さを、こう説く。

 SecureWorks Japanはこれまで、2つのサイバー攻撃対策サービスを提供してきた。1つは、実際にサイバー攻撃を仕掛けて対策の有効性などを評価する「Red Team Testing」である。物理的に会社に侵入したり、管理者権限を奪取したり、機密情報を取得したりする。もう1つは、机上訓練などを実施してユーザーに気付きを与える「インシデント管理リテーナー」である。

図1●レッドチームによる実践的なサイバー攻撃訓練、机上訓練と実技訓練、アセスメントサービス、という3段階のサイバー攻撃対策サービスを揃えた(出所:SecureWorks Japan)図1●レッドチームによる実践的なサイバー攻撃訓練、机上訓練と実技訓練、アセスメントサービス、という3段階のサイバー攻撃対策サービスを揃えた(出所:SecureWorks Japan)
拡大画像表示

 今回、組織としてサイバー攻撃に対処できる体制が整っているかどうかを調査し、サーバー攻撃のリスクを可視化するアセスメントサービスをメニュー化した。アセスメントサービスの内容は、米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)と、米国インターネット・セキュリティー・センター(CIS)のクリティカルセキュリティ・コントロール(CSC)を基準としている。

 特徴は、一般的なアセスメントサービスと異なり、文書の調査だけでなく、より技術的で具体的な観点で、社員のパソコン環境や社内ネットワークの状態なども調査することである。インシデントの事前対策(防御など)と事後対策(対応や復旧など)を明確に分け、これら2つの対策に注力している。「より実践的なリスク管理ができる」(サービス事業部でシニアマネージャを務める大沼希誉隆氏)。

図2●米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)の概要(出所:SecureWorks Japan)図2●米国国立標準技術研究所(NIST)のサイバーセキュリティフレームワーク(CSF)の概要(出所:SecureWorks Japan)
拡大画像表示

 アセスメントサービスの具体的な導入フェーズは、「アセスメント・現状把握フェーズ」(CSFフレームワーク基準で約12週間、CSCフレームワーク基準で約10週間)と、「ロードマップ策定フェーズ」(CSFのオプションで、約6~8週間)で構成する。ロードマップの策定では、企業の弱点を把握し、議論しながら、取り組みの優先度を決めていく。

 アセスメントサービスの参考価格は、NISTのCSFフレームワークを基準とする場合、480万円+オプション費用になる。CISのCSCフレームワークを基準とする場合、250万円+オプション費用になる。

関連記事

サイバー攻撃のリスクを技術視点で可視化するアセスメントサービス―SecureWorks Japan SecureWorks Japanは2017年12月6日、サイバー攻撃のインシデントに対処する仕組みを構築しているかどうかを調べるアセスメントサービス「サイバーセキュリティ・リスクアセスメント・サービス」を発表、同日提供を開始した。一般的なアセスメントサービスとの違いは、ネットワーク構成の弱点など、技術的で具体的な視点でセキュリティ上のリスクを把握できることである。

PAGE TOP