測定器メーカーならではのセキュリティとは（東陽テクニカ）[Security Days Spring 2018] 2ページ目

測定器メーカーならではのセキュリティとは（東陽テクニカ）[Security Days Spring 2018]

福岡を皮切りに名古屋、大阪、そして3月7日からの3日間、東京で開催される「Security Days Spring」は、国内外のセキュリティベンダーによるセミナー中心のイベントで、多くの企業や専門家が最新知見の講演を行う。

研修・セミナー・カンファレンスセミナー・イベント

2018.3.2 Fri 10:00 PR

――次に梅原さんにお聞きします。まずはTenable Network Security社の概要からお教え下さい。

梅原氏：創業は2002年ですが、日本ではまだなじみが薄いかもしれません。しかし、Nessus（ネサス）の開発者が作った会社といえば、わかる人も多いのではないでしょうか。Nessusは世界で160万のユーザーに支持されているネットワークスキャナです。Tenable（Network Security）では、Nessusやその他のセンサーをベースに統合的なサイバーリスク管理のソリューションを提供しています。グローバルでは24,000社のユーザーがおり、金融、IT、防衛関係などFortune 500のおよそ50%、ForbesのGlobal 2000のおよそ20％が弊社のソリューションを採用しています。

――講演タイトルに「サイバーエクスポージャー」とあります。これはどういう概念ですか。

梅原氏：金融業界で「エクスポージャー」というと、金融資産ポートフォリオに対する外的リスクを評価することを意味します。例えば為替リスクがどの程度あるのかといったことを分析することです。これを脆弱性情報の管理という視点でサイバーセキュリティにあてはめたものをサイバーエクスポージャーと呼んでいます。

セキュリティソリューションの多くは、攻撃手法に対応する形で用意されます。多くの企業がそこに対策やリソースを投入しがちですが、世の中のサイバー攻撃のおよそ99％は既知の脆弱性を利用した攻撃であるという統計があります。また、ベライゾン社のレポートでは、トップ10に記された脆弱性をすべて対策すれば、攻撃の80％は防げるという分析もあります。あらためていうまでもないですが、システムのサイバーリスクを把握し、管理することはセキュリティの基本なのです。

Tenableでは米国とEUにリサーチチームがおり、CVEのような公的なデータベースやベンダー情報から脆弱性情報を収集しています。その情報を元に、管理対象システムのさまざまなソフトウェアや製品の脆弱性を調べ上げます。リストアップしたあとは、脆弱性スコアと設定された指標に基づいて、アセットのグループごとに重要度を3段階で評価します。日本固有のベンダー製品については、今年中に米国・EUと同様なリサーチチームを立ち上げる予定があります。

――既存のアセットマネジメント製品との違いはなんですか。

梅原氏：リサーチチームによる新種マルウェアや攻撃情報の最新情報のキャッチアップがあります。原則は新しい脆弱性情報は24時間以内に更新され、チェックされるようになります。次に、検査範囲の広さです。OSやライブラリだけでなく、ネットワーク機器、IoT機器のサイバーリスク情報を持っていることです。平均的なアセットマネジメントシステムとの最大の違いは、IoTのようなシャドーアセットの発見にもなることでしょう。

――梅原さんの講演「サイバーエクスポージャ：サイバーリスクを把握し削減するための新たな原則」の見どころについてお願いします。

梅原氏：前半では今述べたソリューションを詳しく解説します。後半ではTenable I/Oのダッシュボードの画面をご覧いただきながら、どんな機器のどんなサイバーリスクが可視化でき、どんな対応（操作）ができるのかを紹介します。また、事例紹介も準備中です。

――ありがとうございました。