SecureWorks Japanは12月6日、米国国立標準技術研究所(NIST)や米国インターネットセキュリティセンター(CIS)のセキュリティ基準を利用した「サイバーセキュリティ・リスクアセスメント・サービス」の提供を開始した。実践的かつ網羅性に特徴があるとしている。
サービスメニューは、NISTのサイバーセキュリティフレームワークをベースにするものと、CISのクリティカルセキュリティコントロールをベースにするものの2種類。基本サービスでは、各基準に基づいてセキュリティ対策の現状を可視化する。さらにオプションとして、改善や強化に向けたフィードバックやロードマップの策定までを行う。基本サービスの参考提供価格は前者が480万円から、後者が250万円からとなる。
基本的なセキュリティ診断サービスは以前から提供しているが、新サービスはセキュリティ対策を“実際に”強化したいという企業に適している
SecureWorksは、脅威分析情報を活用したセキュリティ監視やサイバー攻撃演習(レッドチーム)、インシデント対応管理・支援などのサービスを提供する。新サービスを担当するセキュリティ&リスクコンサルティング シニアマネージャの三科涼氏によれば、同社に支援要請があったインシデント事案のうち88%が、警察あるいは外部からの通報で発覚したものだという。その理由として、企業ではサイバー攻撃やインシデントの発生を前提にしたセキュリティ対策を十分に講じられていない実態があるとし、今回のサービス提供に至ったと述べた。
新サービスの2つのメニューは、共通要素としてセキュリティ対策のサイバー攻撃への耐性を評価し、ロードマップに基づく実効性のあるセキュリティ対策の確立までを支援する。NISTの基準を用いるメニューは、事前対策(脅威などの防御)と事後対策(脅威などの検知や対応、復旧)の2つのフェーズで、98項目におよぶ網羅的な対策の評価と改善に重点を置く。CISの基準を用いるメニューでは、リスクマネジメントの観点からセキュリティ対策に効果的な上位20項目で、同様に対策の評価や改善を行う。評価までに要する期間は約10~12週間、ロードマップ策定まではさらに6~8週間を費やす。
NISTのフレームワークを用いたサービスメニューの概要
ジェネラルマネージャのJeff Multz氏は、日本企業の中には、セキュリティ対策の目的をコンプライアンスへの準拠にしているケースがあると指摘する。三科氏は、セキュリティサービス会社などが以前から提供する「情報セキュリティマネジメントシステム(ISMS)」などに基づく評価サービスでは、紙文書なども含めた基本的な情報セキュリティ対策の状況を診断できても、サイバー攻撃やインシデントへの対応といった点までは十分にカバーされていないと説明した。
レッドチームなどのサービスを担当するIncident Response & Technical Testing マネージャの加藤義登氏は、企業では攻撃手法といった断片的な事象に焦点を当てたセキュリティ対策を講じてしまいがちだと指摘。同氏の経験からは、「攻撃者」が何を目的にし、目的達成に向けてどう行動するのか、そのための組織体制をどう講じているかといった視点が不可欠だといい、新サービスを含めて同社は、攻撃者視点から実効性のあるセキュリティ対策の支援に強みがあるとアピールしている。