セキュリティ対策ソフトを開発する米Skybox Securityの最高戦略責任者(Chief Strategy Officer)で共同設立者のギディ・コーエン(Gidi Cohen)氏は9月15日、来日して欧米企業でのセキュリティ対策の現状などを説明した。
- 「SRMでセキュリティ対策は可視化できる」米Skybox Securityのギディ・コーエン(Gidi Cohen)氏
コーエン氏は、情報システムのセキュリティ対策で、セキュリティに関する情報が未解析なままで対応されており、システムの継続性が欠如していると指摘した。そのため、ソフトウェアやネットワークの脆弱性が発表される度に、公表された脆弱性が業務にどれだけ影響を及ぼすのか判断されずに、情報システムの変更管理が繰り返されていると説明した。これにより結果的に企業の情報システムは高コストになってしまっているという。
このような企業の情報システムの現状を踏まえ、コーエン氏は「セキュリティ・リスク・マネジメント(SRM)が必要とされている」と語った。SRMとは、脅威や脆弱性に対して処理する優先順位をはっきりさせて、潜在的な攻撃からの被害を最小化できるようにプロセスを構築、システムへの変更やパッチの影響範囲を把握するというもの。SRMを情報システムに導入すれば「セキュリティ対策の投資利益率(ROI)やリスク低減を定量的に効果測定できるようになる」(コーエン氏)という。
Skybox SecurityではSRMを実現するソフトウェア・ツールとして「Skybox View」を提供している。Skybox Viewはネットワークの構成情報や脆弱性データなどのIT環境を仮想的に構築して、業務アプリケーションが持つ対応の優先順位の高い脆弱性を検出する。
その次にSkybox Viewは、システムに対する攻撃をシミュレーションして、攻撃された場合に業務や全社的にどのような影響を与えるのか、金額などを計算する。シミュレーションから得られた結果をもとに、システム全体をどのように改善すべきか計画を立案できる。コーエン氏はSkybox Viewが他社製品より優れている点について「ネットワークを仮想化して攻撃シミュレーションができる」と説明している。
Skybox Viewは大企業向けのEnterprise Edition、中堅企業や事業部向けのStandard Edition、監査役やコンサルタント向けのProject Editionなどに分かれ、日本市場ではトランスデジタル(旧ファイ)が販売している。日本語版のSkybox Viewは、シミュレーション結果などを報告するレポートやマニュアルは日本語で提供され、個人情報保護法などの法令順守(コンプライアンス)面での機能も含まれている。