1位 IBM、新しいセキュリティー・テスト・グループ「X-Force Red」を発表 [日本アイ・ビー・エム]



IBM、新しいセキュリティー・テスト・グループ「X-Force Red」を発表

世界的に名高いエキスパートによるセキュリティー・テスト・チームを拡充、引き続きセキュリティー・コンサルティングとサービスの事業を拡大

Select a topic or year

TOKYO – 04 8 2016:

2016年8月4日

[米国ニューヨーク州アーモンク – 2016年8月2日(現地時間)発]

IBM(NYSE:IBM)セキュリティーは本日(現地時間)、セキュリティーの専門家とエシカル・ハッカー(倫理的なハッカー)のグループ、IBM® X-Force Redの結成を発表しました。このグループの目標は、企業がコンピューター・ネットワーク、ハードウェア、ソフトウェア・アプリケーションの脆弱性を、サイバー犯罪者よりも迅速に発見できるよう支援することです。IBMセキュリティー・サービスに所属するこのチームは、日常のプロセスや手順に潜むヒューマン・セキュリティーの脆弱性についても精査します。攻撃者は頻繁にこうした脆弱性をついてセキュリティー・コントロールを巧みにかわそうとするからです。

この新しいチームを率いるのは、侵入テストの専門家として世界的に名高いIBMのチャールズ・ヘンダーソン(Charles Henderson)です。IBM X-Force Redは、米国、英国、オーストラリア、日本など、世界中の数十の場所を拠点とする数百人のセキュリティー専門家によるネットワークを持つグローバル・チームです。

IBM X-Force Redのセキュリティー・テスト専門家は、医療、金融サービス、小売、製造、公共分野など、複数の業界にわたる専門知識を提供します。これまでに世界最大級のブランド企業や政府機関に対し、侵入テスト、エシカル・ハッキング、ソーシャル・エンジニアリング、物理的なセキュリティー・テストなどのセキュリティー・テストを実施してきました。IBM X-Force Redは、IBM X-Force Research、IBM X-Force Exchangeの脅威共有プラットフォーム、IBM Security AppScanといったセキュリティー・インテリジェンスを共有するとともに、人間の創造性、洞察、経験による追加のセキュリティー・テスト・レイヤーを提供します。

企業資産に対する悪意のある攻撃は増加傾向にあり、2015年に報告されたセキュリティー・インシデントは、2014年から64%増加しています。1新しいソリューションがオンラインで提供される際、セキュリティーはしばしば後回しになります。たとえば、IBMの調査によると、企業の33%は、モバイル・アプリケーションのセキュリティーの脆弱性についてテストしていません。2次のゼロデイ攻撃を狙う攻撃者は、既存テクノロジーを徹底的に調べ上げており、これらテクノロジーが安全を維持するには定期的セキュリティー・テストが必須となっています。

IBMセキュリティーのセキュリティー・テストおよびX-Force Red担当グローバル・ヘッドであるチャールズ・ヘンダーソン(Charles Henderson)は、次のように述べています。「サーバーやソース・コードのマシン・スキャンを実施することは、情報漏えいを防止するための大きな一歩ですが、セキュリティー・テストにおいて人間が関与する要素も極めて重要です。IBM X-Force Redの選り抜きのテストグループは、環境がどのように機能するかを学び、犯罪者よりもさらに高度な技術を使用した独創的な攻撃を生み出すことができます。IBM X-Force Redにより、組織はセキュリティー態勢に盲点を作ることなく、俊敏に対応する柔軟性が得られます」

IBM X-Force Redは、以下の4つの分野に重点を置いています。

  • アプリケーション – 侵入テストおよびソース・コード・レビューにより、Web、モバイル、端末、メインフレーム、ミドルウェア・プラットフォームのセキュリティー脆弱性を識別
  • ネットワーク – 内部、外部、無線、その他高周波の帯域幅への侵入テスト
  • ハードウェア – モノのインターネット(IoT)、ウェアラブル・デバイス、PoSシステム、ATM、自動車システム、セルフレジ端末をテストし、デジタル領域と物理領域の間のセキュリティーを検証
  • ヒューマン – フィッシング攻撃、ソーシャル・エンジニアリング、ランサムウェア、物理的なセキュリティー違反のシミュレーションを実施し、人間の行動によるリスクを判断

IBM X-Force Redは、個別プロジェクト、サブスクリプション・ベース・テスト、マネージド・テスト・プログラムの3つのモデルでセキュリティー・テスト・サービスを提供します。サブスクリプション・モデルは、特定のテスト目標やテスト・タイプを定義せずにテスト資金を事前割り当てすることにより、予算に十分な柔軟性を持たせます。マネージド・テスト・プログラムは、セキュリティー・スタッフのいない組織が、テスト優先順位の決定、修正要件の文書化、ポリシーの適用を行うのに理想的です。

すべてのモデルには、セキュリティー・テスト・プログラムの効率性と効果を向上させるための脆弱性アナリティクスが含まれています。この敏捷なアプローチを採用すれば、企業はセキュリティー支出を柔軟に制御できるだけでなく、アプリケーション/ネットワーク展開のライフサイクル全体にわたる脆弱性調査と管理を含めた、オンデマンド型の強力なテスト体制を整えることができます。

IBMセキュリティーについて

IBMセキュリティーは、最も高度かつ統合された企業セキュリティー製品およびサービスのポートフォリオのうちの1つを提供しています。世界でも名高いIBM X-Force®リサーチがサポートするこのポートフォリオにより、組織は、効果的にリスクを管理し、発生する脅威を防御できます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、さらに3,000を超えるセキュリティー関連の特許を有するとともに、130カ国を超える各地域で1日350億件のセキュリティー・イベントを監視しています。詳しくは、http://www.ibm.com/security (US)、Twitter(@IBMSecurity)、またはIBMセキュリティー・インテリジェンスのブログをご覧ください。

  1. X-Force IBMサイバー・セキュリティー・インテリジェンスの指標、2016年4月
  2. The State of Mobile Application Insecurity、2015年3月

当報道資料は2016年8月2日(現地時間)に、IBM Corporationが発表したものの抄訳です。原文は下記URLを参照ください。
http://www.ibm.com/press/us/en/pressrelease/50282.wss (US)



こんな記事も読まれています