IBM X-Force Red、自動車業界およびIoT向けのセキュリティ・サービスを発表

IBMセキュリティーは、自動車のセキュリティーとIoTに焦点を合わせた新しいセキュリティー・テスト・サービスを開始すると発表した。IBM X-Force Redの専門家から成るチームが提供し、スマート・システムのアクセスや管理の制御に使用されるバックエンド・プロセス、アプリ、物理ハードウェアのテストなどを行う。

同サービスではIoTソリューションを開発する様々な業界の企業に「設計段階からのセキュリティー・サービス」をWatson IoT Platformとともに提供する。Watson IoT PlatformはIoT環境の構成機能と管理機能を提供し、IBM X-Force Redはそれらに加えてセキュリティー・テストとペネトレーション・テストを提供する。

IBM X-Force Redは結成1周年に際して、クリス・トーマス氏（Cris Thomas）やダスティン・ヘイウッド氏（Dustin Heywood）などのセキュリティー専門家を新たなメンバーとして迎え入れた。また、取り組みをより充実させるために、顧客がパスワードの健全性を改善できるよう支援することを目的とした「Cracken」と呼ばれるパスワード・クラッカーを構築した。

IBM X-Force Redは、コネクテッド・カーのセキュリティーはグローバルな優先事項であるとして、ハードウェア、ネットワーク、アプリケーション、人のやりとりをセキュアにする上での支援を提供するための自動車業界に特化した手法を構築した。数十社を超える自動車メーカーおよびサードパーティーの自動車部品メーカーと協力して、専門知識を蓄積し、プログラムに基づいたペネトレーション・テストやコンサルティングのサービスを提供する。この自動車業界向けの手法は、業界のベスト・プラクティスを形成して共有し、セキュリティー・プロトコルを標準化する支援を行うことを目的としている。

この新しい自動車業界向けの手法では、2017年初めにIBM X-Force Redが発表し、コネクテッド・カーに内在する潜在的なセキュリティー・リスクを消費者や自動車業界に周知した調査結果の一部が活用されている。この調査では、一部のコネクテッド・カーの所有者間で所有権の移転が安全に行われず、それによって悪意のある第三者に自動車の機能（ドアのロック/ロック解除、リモート・スタート、ライトやクラクションの制御機能、モバイル・アプリで現所有者の位置を特定する機能など）を乗っ取られる可能性がある点について検討されている。

最新の自動車の相互接続されたコンポーネントやシステムの数は数百または数千におよび、それぞれ固有のセキュリティー制御機能や脆弱性が存在しているという。これらのコンポーネントが組み合わさってモバイル・アプリケーションや外部サーバーに接続しているため、自動車の潜在的な脆弱性の総数は、各コンポーネントの脆弱性の数の合計を上回る数になるという。IBM X-Force Redは、これらを念頭に置きながら、各コンポーネントで個別のセキュリティー・テストを実施するとともに、自動車のシステム全体に対するソリューション・ベースのセキュリティー・テストも実施している。

IBM X-Force Redでは、セキュリティーの脆弱性を先回りで特定する方法として、製品のライフサイクル全体にわたってプログラムに基づいてオンデマンドでセキュリティー・テストを実施するアプローチが採られている。Watson IoT Platformを使用する顧客は、IBM X-Force Redのセキュリティーに関する専門知識を活用し、開発から導入に至るまで支援を受けることが可能になるという。

Watson IoT Platformは「設計段階からのセキュリティー」のアプローチを採用しており、セキュリティー制御機能を搭載し、ISO27001に準拠したクラウド・ベースのサービスとして提供される。また、IoT向けの脅威インテリジェンスによってWatson IoT Platformを拡張する高度なセキュリティーのIoTサービス機能も搭載している。これらの機能により、顧客はIoT環境の重大なリスクを可視化し、ポリシーに基づく自動化を実現して、IoTのインシデントにおける業務対応の優先順位付けを行うことができるという。

【関連リンク】
・IBMセキュリティー（IBM Security）
・IBM X-Force Red