ニュースリリース
IBM X-Force Red、自動車業界およびIoT向けの新しいサービスを発表
[米国ネバダ州ラスベガス - 2017年7月24日(現地時間)発]
IBM(NYSE:IBM)セキュリティーは本日(現地時間)、自動車のセキュリティーとモノのインターネット(IoT)に焦点を合わせた2つの新たなセキュリティー・テスト・サービスを開始することを発表しました。この新しいサービスはIBM X-Force Redの専門家から成る精鋭チームが提供し、スマート・システムのアクセスや管理の制御に使用されるバックエンド・プロセス、アプリ、物理ハードウェアのテストなどを行います。
新しいIoTサービスはWatson IoT Platformとともに提供され、IoTソリューションを開発するあらゆる業界の企業に「設計段階からのセキュリティー・サービス」を提供します。企業の58%が本稼働の最初の段階でしかIoTアプリケーションのテストを実施しておらず、既存システムに脆弱性がもたらされる可能性が容認できないほど高い状態のままとなっています。Watson IoT PlatformはIoT環境の構成機能と管理機能を提供し、それらに加えてIBM X-Force Redのサービスはセキュリティー・テストとペネトレーション・テストを提供します。
IBM X-Force Redは結成1周年に際して、クリス・トーマス(Cris Thomas)(別称:Space Rogue)やダスティン・ヘイウッド(Dustin Heywood)(別称:Team HashcatのEvil_Mog)などのセキュリティー専門家をグローバルな優れた人材から成る精鋭チームに新たなメンバーとして迎え入れました。また、IBM X-Force Redは、取り組みをさらに充実させるために、お客様がパスワードの健全性を改善できるよう支援することを目的とした「Cracken」と呼ばれるパスワード・クラッカーを構築しました。
IBM X-Force Redのグローバル・ヘッドであるチャールズ・ヘンダーソン(Charles Henderson)は次のように述べています。「この1年を振り返ると、セキュリティー・テストがお客様のセキュリティー・プログラムにおける重要な要素としてますます位置付けられるようになってきています。製品やサービスの問題を事前に特定することは、サイバー犯罪者に脆弱性を発見され悪用されてしまったことにより生じるコストを支払うよりもはるかに賢明な投資です。人、ツール、専門知識へ投資することでIBM X-Force Red結成からわずか1年でセキュリティー・テスト能力を3倍以上増強し、我々のセキュリティー・テスト・サービスはお客様の最善の防御策となっています」
コネクテッド・カーのセキュリティーはグローバルな優先事項
ガートナーは、内蔵型の通信モジュールやモバイル機器との有線接続によるデータ接続機能を搭載した新たな自動車の製造台数が2020年に6,100万台に達するだろうと予測しています2。IBM X-Force Redは、現在および将来のさまざまな課題を念頭に置きながら、ハードウェア、ネットワーク、アプリケーション、人のやりとりをセキュアにする上での支援を提供するための、自動車業界に特化した手法を構築しました。
IBM X-Force Redは、数十社を超える自動車メーカーおよびサードパーティーの自動車部品メーカーと協力して、専門知識を蓄積し、プログラムに基づいたペネトレーション・テストやコンサルティングのサービスを構築しました。この自動車業界向けの手法の構築は、業界のベスト・プラクティスを形成して共有し、セキュリティー・プロトコルを標準化する支援を行うことを目的としています。
また、新しい自動車業界向けの手法は、今年初めにIBM X-Force Redが発表し、コネクテッド・カーに内在する潜在的なセキュリティー・リスクを消費者や自動車業界に知らしめた調査結果の一部が活用されています。この調査では、一部のコネクテッド・カーの所有者間で所有権の移転が安全に行われず、それによって悪意のある第三者が自動車の機能(ドアのロック/ロック解除、リモート・スタート、ライトやクラクションの制御機能、モバイル・アプリで現所有者の位置を特定する機能など)を乗っ取る可能性がある点について検討されています。ヘンダーソンとIBM X-Force Redは、RSA2017においてこれらの調査結果について発表した際、大手自動車メーカー4社においてもこれらの潜在的なセキュリティー・リスクの存在が確認されたことも併せて発表しました。
最新の自動車の相互接続されたコンポーネントやシステムの数は数百または数千におよび、それぞれ固有のセキュリティー制御機能や脆弱性が存在しています。これらのコンポーネントが組み合わさってモバイル・アプリケーションや外部サーバーに接続しているため、自動車の潜在的な脆弱性の総数は、各コンポーネントの脆弱性の数の合計を上回る数になります。IBM X-Force Redは、これを念頭に置きながら、各コンポーネントで個別のセキュリティー・テストを実施するとともに、自動車のシステム全体に対するソリューション・ベースのセキュリティー・テストも実施しています。
Watson IoT PlatformとIBM X-Force Red
ガートナーは、2017年に全世界で84億個(2016年よりも31%増加)もの「接続されたモノ」が使用され、2020年までにその数が204億個に達するだろうと予測しています3。IoTのデータから得られる洞察が収益源となり、持続的な顧客関係を構築するのに役立つ一方で、需要や生産サイクルの短縮によってそれらの新しい製品やサービスのセキュリティー・テストがおろそかにされたり、実施されなかったりするケースも多々あります。
IBM X-Force Redは、新興テクノロジー(IoTやコネクテッド・カーなど)のセキュリティー・ギャップについて理解したうえで、セキュリティー・テストの実施方法を変えており、脆弱性を先回りで特定する最善の方法として、製品のライフサイクル全体にわたってプログラムに基づいてオンデマンドでセキュリティー・テストを実施するアプローチが採られるようになってきています。Watson IoT Platformのお客様は、IBM X-Force Redのセキュリティーに関する専門知識を活用し、開発から導入に至るまで支援を受けることが可能になります。
IBM Watson IoT Platformのオファリング・マネージャーであるジェームス・マーフィー(James Murphy)は次のように述べています。「これは単にテクノロジーに関することではなく、グローバルな展開、投資、コラボレーティブなアプローチに関することであり、これによりIBMが企業向けIoTソリューションにおける信頼できるパートナーとなることができます。業界の隅々までIoTテクノロジーが浸透しているため、IBMはWatson IoT PlatformとX-Force Redのセキュリティー専門家のサービスを組み合わせて提供することで、現在および将来の課題に対処します」
Watson IoT Platformは「設計段階からのセキュリティー」のアプローチを採用しており、セキュリティー制御機能を搭載し、業界で認められたISO27001に準拠したクラウド・ベースのサービスとして提供されます。さらに、IoT向けの脅威インテリジェンスによってWatson IoT Platformを拡張する高度なセキュリティーのIoTサービス機能も搭載しています。これらの機能により、お客様は、IoT環境の重大なリスクを可視化し、ポリシーに基づく自動化を実現して、IoTのインシデントにおける業務対応の優先順位付けを行うことができます。
X-Force Redチームのスキルと経験およびWatson IoT Platformによって、お客様が設計段階から幸先の良いスタートを切って最終的にIoTソリューションを稼働できるよう支援するうえで欠かせないさまざまなコンポーネントが提供されます。
インフラストラクチャーへの投資
2017年2月、IBM X-Forceは、セキュリティー・テスト・プログラムのエンド・ツー・エンドのビューを提供する、お客様とセキュリティー専門家を対象にしたクラウド・ベースのコラボレーション・プラットフォームであるRed Portalを発表しました。お客様は、テスト・プロジェクトのマイルストーン、すべての資産の脆弱性、調査結果のレポート、管理対象となるテスト・プログラムの全体的な状況をリアルタイムに確認できます。Red Portalは、X-Force Redとのあらゆるコミュニケーションを一元化して簡素化し、最も重大な項目に関する改善措置を即座に開始する手段を提供します。
X-Force Redは、今年開催されるBlack Hatカンファレンスで、秘蔵の最新兵器について発表する予定です。Crackenは、X-Force Redがペネトレーション・テストやセキュリティー評価を実施する際に使用する専用のパスワード・クラック・クラスターです。X-Force Redは、Black Hat USA 2017の開催期間中、ブース616において、パスワードの長さと複雑さの重要性を示すために、参加者の皆様にCrackenを使用して実際にパスワードのテストを体験していただく予定です。
Black Hat 2017とDEF CON 2017におけるIBM X-Force Red
Black Hat USA 2017では、IBM X-Force Redグローバル・ヘッドのチャールズ・ヘンダーソン(Charles Henderson)が実際の侵入テスト「Better Than Mr. Robot」についてディスカッションを行う予定です。このセッションは、7月27日(太平洋標準時間の午前11時から午前11時50分)にMandalay BayのBusiness Hall Theater Bで開催されます。
また、DEF CON 25 では、IBM X-Force ReadのRed Team Opsリードであるクリス・トンプソン(Chris Thompson)が、Red Teamの高度な戦術「MS Just Gave the Blue Team Tactical Nukes (and How Read Teams Need to Adapt)」についてデモを行います。このデモは、7月30日(土)(太平洋標準時間の午後3時から午後3時45分)に101 Trackで開催されます。
X-Force Redとその他のIBM セキュリティーの専門家が、7月26日と7月27日にMandalay BayのLevel 1 Business Hall(ブース番号616)で最新オファリングのデモを行います。
1 「2017 Study on Mobile and IoT Application Security」Ponemon Institute、Arxan、およびIBMセキュリティー
2 Gartner、「Gartner Says Connected Car Production to Grow Rapidly Over Next Five Years」、2016年9月
3 Gartner、「Forecast: Internet of Things — Endpoints and Associated Services, Worldwide, 2016」、2016年12月
IBMセキュリティーについて
IBMセキュリティーは、エンタープライズ・セキュリティー製品とサービスを集結した最先端といわれるポートフォリオを提供します。世界的に有名なIBM X-Forceの調査に裏付けられたポートフォリオにより、組織はリスクの管理、新たな脅威に対する備えを効率よく行うことができます。IBMは、セキュリティーの研究・開発、デリバリーを行う世界最大級の組織を運営し、130を超える国で毎日350億件を超えるセキュリティー・イベントを監視しています。また、保有するセキュリティー関連の特許は3,000を超えています。詳しくは、http://www.ibm.com/security (US)、Twitter(@IBMSecurity)、またはIBMセキュリティー・インテリジェンスのブログ http://securityintelligence.com/ (英語)をご覧ください。
当報道資料は、2017年7月24日(現地時間)にIBM Corporationが発表したプレスリリースの抄訳です。原文は下記URLを参照ください。
https://www.ibm.com/press/us/en/pressrelease/52863.wss(US)
Release Categories
プレスリリース、各種取材のお申込みに関するお問い合わせ先(報道関係者様専用窓口)
※報道関係者様以外からのお問い合わせは受け付けておりませんのでご了承ください。
日本IBM 広報代表
電話: 03-3808-5120
e-mail: PRESSREL@jp.ibm.com