ソフトウェアはもちろん、IoTやハードウェアと広がりを見せるネットワーク。組織セキュリティにおける課題が見えてこない。どこに問題があるのか漠然としている。そんな場合には、実際に侵入可能であるか否かを試すペネトレーションテストが有効な手法のひとつとなる。
IBM X-Force Redは、Charles Henderson(チャールズ・ヘンダーソン)氏が率いるIBMのグローバル組織で世界数十箇所の拠点、数百人の専門家から構成される。企業におけるコンピュータ、ネットワークにソフトウェアから日常のプロセスや手順などに潜むヒューマンエラーまで、ペネトレーションを含むセキュリティテストを通じて診断するサービスを展開している。Charles Henderson氏は、20年のセキュリティ産業における経験を持ち、Black HatやDEFCON、RSAカンファレンスなど世界的なセキュリティイベントでの講演も行う著名な専門家でもある。
4日、日本IBMはこのIBM X-Force Redを日本でもスタートしたことを発表した。テストを行う専門家は、医療、金融サービス、小売、製造、公共分野など複数の業界の知見を持ち、これらの知見を生かしたセキュリティテストを行っていく。同社では、主な対象4分野を挙げている。
アプリケーション:手動ペネトレーション・テスト、ソース・コード・レビュー、Web、モバイル、サーバー、端末、メインフレーム、ミドルウェアの脆弱性診断
ネットワーク:手動ペネトレーション・テスト、内部、外部、無線、SCADA(監視制御システム)の脆弱性診断
ハードウェア/組み込み機器:IoT、ウェアラブル・デバイス、POS、ATM、自動車やビデオなどのシステムを対象としてセキュリティー・テスト
ヒューマン:フィッシング・キャンペーン、ソーシャル・エンジニアリング、物理的なセキュリティ違反のシミュレーションを実施し、人間の行動によるリスクを判断
提供方法は、期間やスコープ限定した「プロジェクトタイプ」、12から36カ月以上の期間にわたるテストで、最初にテスト・ターゲットやテスト・タイプを定義しない「サブスクロプションタイプ」、専門家メンバーが包括に対応する「マネージドタイプ」となる。
