EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

ニューノーマル時代におけるサイバーセキュリティ対策、成功のカギは「検知」と「対応」にあり

edited by Security Online   2020/07/21 11:00

 セキュリティ対策はこれまでの防御一辺倒ではなく、迅速な検知と対応が重要視されてきている。多くの攻撃者は潜伏がばれないように振る舞うため、データの破壊行為などわかりやすい被害がないからといって攻撃を受けていないとは限らない。気づかぬうちに貴重な情報が狙われている可能性がある。ラピッドセブンの基本コンセプトから最新のMDRサービスについて詳しく解説する。

セキュリティ業界の標準をベースに真のセキュリティレベル向上を狙う

写真左から、多摩大学 ルール形成戦略研究所 西尾 素己氏ラピッドセブン・ジャパン シニアセキュリティコンサルタント CISSP 本田 俊夫氏リードセキュリティソリューションエンジニア 青木 和仁氏、代表執行役 社長 森下 恭介氏
写真左から、多摩大学 ルール形成戦略研究所 西尾 素己氏
ラピッドセブン・ジャパン シニアセキュリティコンサルタント CISSP 本田 俊夫氏
リードセキュリティソリューションエンジニア 青木 和仁氏
代表執行役 社長 森下 恭介氏

──ラピッドセブンにおけるNIST SP800-171やCMMC対策の取り組みや考え方を教えてください。

本田:ラピッドセブンはグローバルで「モノ(製品/ツール)、ヒト(マネージドサービスとコンサルティングサービス)、コト(製品やサービスを支えるセキュリティ研究とインテリジェンス)」の3拍子で支援しています。製品だけではないのが特徴です。たとえば海外ですとコンサルティングサービスでCMMC取得支援があり、アセスメントや認証取得までのロードマップをご提示しています(日本では未対応)。そうしたコンサルティングで得た知見を製品やサービスに反映し、よりよいスパイラルやシナジーを生み出しています。

 

 モノとなる製品やツールではセキュリティリスクや環境の「可視化」、脅威の「分析」、検知後の対応と運用の「自動化」の3つを柱として、他にもコンポーネントを多数抱えています。製品は個別に存在するのではなく、「Rapid7 Insight Cloud」の共通クラウド基盤に多数の機能をモジュールとして乗せているイメージです。なお製品だけではNISTの要件やCMMCなどの認証に対応できませんので、各種要件とマッピングできているマネージドサービスもあります。

 ラピッドセブンの特徴であり強みとなるのが攻撃者視点です。Metasploitをはじめ、随所にその哲学が散りばめられています。こうしてモノ、ヒト、コトで多面的かつ複数の視点からお客様のセキュリティレベル向上を実現します。

図:NIST SP800-171 / CMMCに対するRapid7のアプローチ
図:NIST SP800-171 / CMMCに対するRapid7のアプローチ

──パンデミック前後でお客様からの相談に変化は見られましたか。

本田:お客様が目指している方向がラピッドセブンのコンセプトやアプローチに近づいてきている印象を受けています。

 セキュリティ対策は時代ごとに流行があります。少し前ならサンドボックス。ラピッドセブンはバズワードに合わせて製品を提供するのではなく、NISTやCIS Controlsなどセキュリティ業界のベストプラクティス、ガイドライン、フレームワーク、スタンダードなどをベースとして、本質的なセキュリティレベル向上やリスクを低減できるソリューションを提供しています。また運用上の課題をどう改善できるかを方法論で考えています。

 お客様がこうしたラピッドセブンの考え方やアプローチを理解してくださっていることが「近づいている」と感じられるのかもしれません。

──たとえばどんなところでしょうか。

本田:主要製品の1つに脆弱性管理(InsightVM)があります。オンプレミス、リモート、クラウド、コンテナを含むIT環境全体の脆弱性を可視化し、継続的なリスク管理を支援します。脆弱性管理はセキュリティ対策の一丁目一番地、まずやるべきことです。しかし日本企業ではこの考えが定着していないようでしたが、徐々に認識されてきていると実感しています。

 この動きはなぜだろうと考えました。定量的には証明できないのですが、日本でもセキュリティ業界の標準的な文書をベースに全体のグランドデザインを描き、次に個別の対策を考えるようなアプローチが浸透しつつあるからではないかと感じています。

 その背景には西尾さんの活動があり、日本のセキュリティ担当者が標準的な文書にも目を通すようになっているのかもしれません。そうであればラピッドセブンの製品にマッチするので、問い合わせが増えているのも説明できる気がします。

西尾:NISTについての啓発活動を始めて5年。がんばった甲斐がありました(笑)。IT戦略特命委員会の平井卓也先生がデジタルニッポン2017(※)という国の指針でNISTに触れてくださり、最近では防衛装備庁の特約改定にNISTが含まれたことが大きかったです。主要な企業には認知されてきています。

 ※デジタルニッポン2017

※この記事で紹介したサービスの資料をダウンロードいただけます。資料は会員の方のみダウンロードしていただけます。



関連リンク

著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

バックナンバー

連載:Security Online Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5