セキュリティ業界の標準をベースに真のセキュリティレベル向上を狙う
ラピッドセブン・ジャパン シニアセキュリティコンサルタント CISSP 本田 俊夫氏
リードセキュリティソリューションエンジニア 青木 和仁氏
代表執行役 社長 森下 恭介氏
──ラピッドセブンにおけるNIST SP800-171やCMMC対策の取り組みや考え方を教えてください。
本田:ラピッドセブンはグローバルで「モノ(製品/ツール)、ヒト(マネージドサービスとコンサルティングサービス)、コト(製品やサービスを支えるセキュリティ研究とインテリジェンス)」の3拍子で支援しています。製品だけではないのが特徴です。たとえば海外ですとコンサルティングサービスでCMMC取得支援があり、アセスメントや認証取得までのロードマップをご提示しています(日本では未対応)。そうしたコンサルティングで得た知見を製品やサービスに反映し、よりよいスパイラルやシナジーを生み出しています。
モノとなる製品やツールではセキュリティリスクや環境の「可視化」、脅威の「分析」、検知後の対応と運用の「自動化」の3つを柱として、他にもコンポーネントを多数抱えています。製品は個別に存在するのではなく、「Rapid7 Insight Cloud」の共通クラウド基盤に多数の機能をモジュールとして乗せているイメージです。なお製品だけではNISTの要件やCMMCなどの認証に対応できませんので、各種要件とマッピングできているマネージドサービスもあります。
ラピッドセブンの特徴であり強みとなるのが攻撃者視点です。Metasploitをはじめ、随所にその哲学が散りばめられています。こうしてモノ、ヒト、コトで多面的かつ複数の視点からお客様のセキュリティレベル向上を実現します。
──パンデミック前後でお客様からの相談に変化は見られましたか。
本田:お客様が目指している方向がラピッドセブンのコンセプトやアプローチに近づいてきている印象を受けています。
セキュリティ対策は時代ごとに流行があります。少し前ならサンドボックス。ラピッドセブンはバズワードに合わせて製品を提供するのではなく、NISTやCIS Controlsなどセキュリティ業界のベストプラクティス、ガイドライン、フレームワーク、スタンダードなどをベースとして、本質的なセキュリティレベル向上やリスクを低減できるソリューションを提供しています。また運用上の課題をどう改善できるかを方法論で考えています。
お客様がこうしたラピッドセブンの考え方やアプローチを理解してくださっていることが「近づいている」と感じられるのかもしれません。
──たとえばどんなところでしょうか。
本田:主要製品の1つに脆弱性管理(InsightVM)があります。オンプレミス、リモート、クラウド、コンテナを含むIT環境全体の脆弱性を可視化し、継続的なリスク管理を支援します。脆弱性管理はセキュリティ対策の一丁目一番地、まずやるべきことです。しかし日本企業ではこの考えが定着していないようでしたが、徐々に認識されてきていると実感しています。
この動きはなぜだろうと考えました。定量的には証明できないのですが、日本でもセキュリティ業界の標準的な文書をベースに全体のグランドデザインを描き、次に個別の対策を考えるようなアプローチが浸透しつつあるからではないかと感じています。
その背景には西尾さんの活動があり、日本のセキュリティ担当者が標準的な文書にも目を通すようになっているのかもしれません。そうであればラピッドセブンの製品にマッチするので、問い合わせが増えているのも説明できる気がします。
西尾:NISTについての啓発活動を始めて5年。がんばった甲斐がありました(笑)。IT戦略特命委員会の平井卓也先生がデジタルニッポン2017(※)という国の指針でNISTに触れてくださり、最近では防衛装備庁の特約改定にNISTが含まれたことが大きかったです。主要な企業には認知されてきています。
※この記事で紹介したサービスの資料をダウンロードいただけます。資料は会員の方のみダウンロードしていただけます。
