TOKYO - 17 8 2018:
2018年8月17日

[米国ネバダ州ラスベガ　BLACK HATコンファレンス - 2018年8月6日（現地時間）発]

IBM（NYSE：IBM）セキュリティーは本日、X-Force Redラボについて発表しました。X-Force Redラボは、消費者および産業用のIoTテクノロジー、自動車用品、現金自動預払機（ATM）をはじめとするさまざまなデバイスやシステムのセキュリティーのテストを専門とする4つのセキュアな施設から成るネットワークです。また、IBM X-Force Redも、金融取引システムのセキュリティー確保に対する需要の増大を受けて、ATMに特化したテスト手法について発表しました。

これらの新しいラボは、X-Force Redによって運営されます。X-Force Redは、IBMセキュリティー内の経験豊富なハッカーから成る自律的チームです。X-Force Redラボは、X-Force Redの経験豊富なハッカーがデバイス（ハードウェアとソフトウェア）のデプロイ前およびデプロイ後にデバイスの脆弱性を特定する作業を行うセキュアな場所を提供します。これら4つのラボは、米国テキサス州のオースティン、英国のハーズリー、オーストラリアのメルボルン、米国ジョージア州のアトランタに開設されます。

IBM X-Force Redラボ

IBM X-Force Redは、わずか2年のうちに、業界トップのセキュリティー・テスト・チームとして台頭し、驚異的な成長を遂げています。同チームは、昨年、侵入テストの顧客基盤を170%以上拡大させています。この急成長を受けて、IBMセキュリティーも、さまざまな領域にわたるX-Force Redの専門家の数をこの1年で2倍に増やしました。最近X-Force Redチームに加わったメンバーには、グローバル・ハードウェア・セキュリティー・リードのイヴァン・リードマン（Ivan Reedman）（別名：ToyMaker）、ヨーロッパ＆オートモーティブ・プラクティス・リーダーのトーマス・マッケンジー（Thomas MacKenzie）、X-Force Redのグローバル・リサーチ・ディレクターのダニエル・クロウリー（Daniel Crowley）などがいます。

IBM X-Force Redのグローバル・マネージング・パートナーのチャールズ・ヘンダーソン（Charles Henderson）は、次のように述べています。「IBM X-Force Redは、『あらゆるもののセキュリティーを確保するためにあらゆるものをハッキングする』というミッションを掲げています。これは、X-Force Redラボのセキュアな制御された環境でのみ遂行できるミッションです。まだリリースされていない最新のスマートフォンであっても、インターネットに接続する冷蔵庫であっても、新しいATMであっても、私たちは、悪意のある人間が脆弱性を悪用する前に脆弱性のテストを実施し、脆弱性を特定して、お客様が脆弱性を修正する支援を行うことができます」

X-Force Redラボ：あらゆるもののセキュリティーを確保するためにあらゆるものをハッキングする

Ponemon Instituteによると、製造後にソフトウェアの脆弱性や欠陥を修正した場合、設計段階でそれらを特定して修正するよりも29倍以上大きなコストがかかる可能性があるそうです。1 IBM X-Force Redは、新しい4つのグローバルなテスト・ラボを通じて、IoT対応デバイスやATMをはじめとするハードウェアおよびソフトウェアの開発ライフサイクル全体を通してエンジニアや開発者がセキュリティーを実現できるよう支援します。

サービスに含まれる内容：

• 製品要件の文書化：製品エンジニアとともに、製品の目的、関与する利害関係者およびシステム、利用可能なスキルセット、その他の製品要件について表にまとめます。
• 技術的な詳細分析：侵入テストの対象範囲を定義するために、製品設計文書、セキュリティー要件、リスク管理情報、その他のデータについて分析します。
• 脅威のモデル化：製品をターゲットにする可能性がある脅威者、脅威者が製品を侵害する方法と理由、企業に対する潜在的リスクなど、製品や企業に対する潜在的な脅威およびリスクを明らかにします。
• セキュリティー要件の作成：製品の構築時にエンジニア向けのセキュリティー要件のリストを作成してそれらを実施します。
• 侵入テスト：攻撃者が実際に用いる方法と同じ方法を用いて製品に侵入します。チームは、X-Force Redのクラウド・ベースのポータルを通じて、脆弱性の知見に関する最新情報をリアルタイムに提供します。X-Force Redのハッカーがテスト実施時に得られた知見を随時報告するので、お客様はテストがすべて完了するのを待たずに脆弱性を修正するプロセスを開始できます。

ATMテストの必要性

世界には3億台を超えるATMがあり、金融機関は、標的となりうるこれらのATMを攻撃者から保護する必要があります。2018年初めの法執行機関による金融機関への警告によると、犯罪者がATMに「ジャックポット」攻撃を仕掛け、中の現金を盗むという、ATMを標的とする脅威が米国内で増加しています。「ジャックポット」攻撃は、マルウェアを使い、ATM機器に物理的にアクセスすることで、ATM内のすべての現金を奪うことで知られています。2017年以降、こうした脅威の出現により、X-Force RedではATMのテストの依頼が300パーセント増加しています。

また、多くの金融機関では、ATMでいまだに旧式のOSを実行しているため、適切なパッチを適用して機器のセキュリティーを強化することが行えていません。こうしたATMの脆弱性を事前に特定することで、犯罪者が近づく前に、金融機関が問題に対処でき、将来のセキュリティー侵害からの保護に役立ちます。

X-Force RedのATMテスト・サービスには、経験豊富なペネトレーション・テスト担当者で構成されるグローバル・チームが参加しているので、銀行ATMが攻撃者の手に落ちる前に、物理的脆弱性や、ハードウェアおよびソフトウェアの脆弱性を特定して、修正に役立てることができます。このサービスには、次の内容が含まれています。

• 包括的なATM評価：犯行を行うハッカーが利用する可能性がある脆弱性を見つけるため、機器そのもの、ネットワーク、アプリケーション、およびコンピューター・システムのセキュリティーを評価します。
• 攻撃者の観点からのテスト：犯罪者が使用するのと同じツールや方法を用いてATMをハッキングし、攻撃に使われる脆弱性を特定します。
• 脆弱性修正の助言：包括的なレポートで、ATMシステムの強化や防御について助言します。
• コンプライアンス：ATMのログを調べ、金融機関がペイメントカード業界データセキュリティ基準（PCI DSS）などの業界基準に準拠できるよう支援します。

IBM X-Force RedのBlack HatおよびDEF CON 2018への参加

IBM X-Force RedのメンバーがBlack HatおよびDEF CONで登壇します。セッションの詳細については、http://ibm.biz/blackhatdefcontalksをご覧ください。

IBM X-Force Redについては、www.ibm.com/xforceredをご覧ください。IBM X-Force Redの最新情報については、「X-Force Redの活動（英語）」をフォローしてください。

X-Force Redおよびその他のIBMセキュリティーのエキスパートが、8月8日および9日にマンダレイ・ベイのオーシャンサイドで行われるBlack Hatネットワーキング・ラウンジ（#2104）で最新オファリングのデモを行います。

IBMセキュリティーについて

IBMセキュリティーは、エンタープライズ・セキュリティー製品およびサービスを統合した最新のポートフォリオを提供しています。このポートフォリオは、世界的に有名なIBM X-Forceリサーチのサポートを受けており、企業が効果的にリスクを管理し、新たに出現する脅威を防ぐことができるようにしています。IBMでは、世界最大規模のセキュリティー調査および開発を実施し、配信組織を運営しており、130か国以上で1日に600億件のセキュリティー・イベントを監視し、世界中で8,000件を超えるセキュリティーの特許を認可されています。

当報道資料は、2018年8月6日（現地時間）にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。 http://newsroom.ibm.com/2018-08-06-IBM-Security-Opens-Network-of-Four-Secure-Testing-Facilities-Globally (US)