SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press(AD)

ニューノーマル時代におけるサイバーセキュリティ対策、成功のカギは「検知」と「対応」にあり

 セキュリティ対策はこれまでの防御一辺倒ではなく、迅速な検知と対応が重要視されてきている。多くの攻撃者は潜伏がばれないように振る舞うため、データの破壊行為などわかりやすい被害がないからといって攻撃を受けていないとは限らない。気づかぬうちに貴重な情報が狙われている可能性がある。ラピッドセブンの基本コンセプトから最新のMDRサービスについて詳しく解説する。

セキュリティ業界の標準をベースに真のセキュリティレベル向上を狙う

写真左から、多摩大学 ルール形成戦略研究所 西尾 素己氏ラピッドセブン・ジャパン シニアセキュリティコンサルタント CISSP 本田 俊夫氏リードセキュリティソリューションエンジニア 青木 和仁氏、代表執行役 社長 森下 恭介氏
写真左から、多摩大学 ルール形成戦略研究所 西尾 素己氏
ラピッドセブン・ジャパン シニアセキュリティコンサルタント CISSP 本田 俊夫氏
リードセキュリティソリューションエンジニア 青木 和仁氏
代表執行役 社長 森下 恭介氏

──ラピッドセブンにおけるNIST SP800-171やCMMC対策の取り組みや考え方を教えてください。

本田:ラピッドセブンはグローバルで「モノ(製品/ツール)、ヒト(マネージドサービスとコンサルティングサービス)、コト(製品やサービスを支えるセキュリティ研究とインテリジェンス)」の3拍子で支援しています。製品だけではないのが特徴です。たとえば海外ですとコンサルティングサービスでCMMC取得支援があり、アセスメントや認証取得までのロードマップをご提示しています(日本では未対応)。そうしたコンサルティングで得た知見を製品やサービスに反映し、よりよいスパイラルやシナジーを生み出しています。

 

 モノとなる製品やツールではセキュリティリスクや環境の「可視化」、脅威の「分析」、検知後の対応と運用の「自動化」の3つを柱として、他にもコンポーネントを多数抱えています。製品は個別に存在するのではなく、「Rapid7 Insight Cloud」の共通クラウド基盤に多数の機能をモジュールとして乗せているイメージです。なお製品だけではNISTの要件やCMMCなどの認証に対応できませんので、各種要件とマッピングできているマネージドサービスもあります。

 ラピッドセブンの特徴であり強みとなるのが攻撃者視点です。Metasploitをはじめ、随所にその哲学が散りばめられています。こうしてモノ、ヒト、コトで多面的かつ複数の視点からお客様のセキュリティレベル向上を実現します。

図:NIST SP800-171 / CMMCに対するRapid7のアプローチ
図:NIST SP800-171 / CMMCに対するRapid7のアプローチ

──パンデミック前後でお客様からの相談に変化は見られましたか。

本田:お客様が目指している方向がラピッドセブンのコンセプトやアプローチに近づいてきている印象を受けています。

 セキュリティ対策は時代ごとに流行があります。少し前ならサンドボックス。ラピッドセブンはバズワードに合わせて製品を提供するのではなく、NISTやCIS Controlsなどセキュリティ業界のベストプラクティス、ガイドライン、フレームワーク、スタンダードなどをベースとして、本質的なセキュリティレベル向上やリスクを低減できるソリューションを提供しています。また運用上の課題をどう改善できるかを方法論で考えています。

 お客様がこうしたラピッドセブンの考え方やアプローチを理解してくださっていることが「近づいている」と感じられるのかもしれません。

──たとえばどんなところでしょうか。

本田:主要製品の1つに脆弱性管理(InsightVM)があります。オンプレミス、リモート、クラウド、コンテナを含むIT環境全体の脆弱性を可視化し、継続的なリスク管理を支援します。脆弱性管理はセキュリティ対策の一丁目一番地、まずやるべきことです。しかし日本企業ではこの考えが定着していないようでしたが、徐々に認識されてきていると実感しています。

 この動きはなぜだろうと考えました。定量的には証明できないのですが、日本でもセキュリティ業界の標準的な文書をベースに全体のグランドデザインを描き、次に個別の対策を考えるようなアプローチが浸透しつつあるからではないかと感じています。

 その背景には西尾さんの活動があり、日本のセキュリティ担当者が標準的な文書にも目を通すようになっているのかもしれません。そうであればラピッドセブンの製品にマッチするので、問い合わせが増えているのも説明できる気がします。

西尾:NISTについての啓発活動を始めて5年。がんばった甲斐がありました(笑)。IT戦略特命委員会の平井卓也先生がデジタルニッポン2017(※)という国の指針でNISTに触れてくださり、最近では防衛装備庁の特約改定にNISTが含まれたことが大きかったです。主要な企業には認知されてきています。

 ※デジタルニッポン2017

※この記事で紹介したサービスの資料をダウンロードいただけます。資料は会員の方のみダウンロードしていただけます。

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
関連リンク
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/13141 2020/07/21 11:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング