NEC、システムのセキュリティリスクとその対策効果を可視化する「サイバー攻撃ルート診断サービス」を提供開始

昨今、新型コロナウイルス感染症の拡大に対応するため、テレワークの導入やクラウドサービスの利用が急速に進んでいる。一方で、サイバー攻撃による被害が深刻化しており、情報漏えいをはじめとしたセキュリティリスクへの対応が事業継続のための経営課題となっている。

セキュリティリスクへの対応を素早く正確に、かつ効率的に行うためには、システムに内在するリスクとその危険度を理解し、対策の効果や妥当性を判断できることが求められている。

日本電気株式会社(以下、NEC)は、システムのセキュリティリスクとその対策効果を可視化する「サイバー攻撃ルート診断サービス」を提供開始した。

従来の脆弱性診断ツールでは、各機器の脆弱性は網羅的に検出できても、実際に攻撃可能なルートの検出までは不可能だった。また、システムが複雑化するほど攻撃可能なルートは増加するため、人手でも網羅的に把握することが困難である。同サービスでは、NECが開発した「サイバー攻撃リスク自動診断技術」により、実際に攻撃可能なルートを網羅的に検出・分析することができる。

分析結果については「分析シート作成自動化技術」により列記された全攻撃ルートをセキュリティ専門技術者が分析し、企業が理解しやすい形の報告書に整理して提示する。

また、同サービスは、検出した全ての攻撃可能なルートに対して対策効果を計算することにより、セキュリティ対策を実施した場合のシステム全体のリスク値の変化を可視化して対策の効果を把握することができる。これにより、セキュリティ対策を優先すべき箇所の把握や、対策の妥当性を判断することができるため、効率的なセキュリティ対策の実施が可能だ。

さらに、従来の脆弱性診断ツールやペネトレーションテスト(侵入テスト)では、実環境もしくはその複製環境で分析作業が必要のため、実環境に影響を及ぼす可能性や複製環境の構築コストが課題となっていたが、同サービスでは、仮想モデル上でシミュレーションを実施し分析を行うため、実環境に影響無くリスク把握が可能だ。
NEC、システムのセキュリティリスクとその対策効果を可視化する「サイバー攻撃ルート診断サービス」を提供開始
NECは2019年から先行して複数の顧客と検証を進めており、リスク分析や対策効果可視化の有用性を確認しているとのことだ。

なお、同サービスの価格は250万円~となっている。

加えて、同事業の技術開発の一部は、内閣府が進める戦略的イノベーション創造プログラム(SIP)「IoT社会に対応したサイバー・フィジカル・セキュリティ」(管理法人:NEDO)によって実施されている。