本サービスは、現状のシステムのリスク分析を実施し、セキュリティリスクの全体像と危険度が高く対応を優先すべきリスクを明らかにするとともに、セキュリティ対策を実施した際の危険度の変化を可視化します。これにより、優先順位に基づいた効率的なセキュリティ対策の実施を支援します。
昨今、新型コロナウイルス感染症の拡大に対応するため、テレワークの導入やクラウドサービスの利用が急速に進んでいます。一方で、サイバー攻撃による被害が深刻化しており、情報漏えいをはじめとしたセキュリティリスクへの対応が事業継続のための経営課題となっています。セキュリティリスクへの対応を素早く正確に、かつ効率的に行うためには、システムに内在するリスクとその危険度を理解し、対策の効果や妥当性を判断できることが求められています。
本サービスは、NECが開発した「サイバー攻撃リスク自動診断技術」(注1)を活用し、従来の製品・サービスでは難しかった、システム上に存在する実際に攻撃可能なルートを網羅的に検出するとともに、それぞれの危険度を可視化し、リスクの高いルートを明らかにします。分析結果については、「分析シート作成自動化技術」(注2)により列記された全攻撃ルートをセキュリティ専門技術者が分析し、お客様が理解しやすい形の報告書に整理して提示します。
NECは2019年から先行して複数のお客様と検証を進めており、リスク分析や対策効果可視化の有用性を確認しています。
サービスの特長
1. 攻撃可能なルートを網羅的に検出・分析可能
従来の脆弱性診断ツールでは、各機器の脆弱性は網羅的に検出できても、実際に攻撃可能なルートの検出までは不可能でした。また、システムが複雑化するほど攻撃可能なルートは増加するため、人手でも網羅的に把握することが困難です。本サービスでは、サイバー攻撃リスク自動診断技術により、実際に攻撃可能なルートを網羅的に検出・分析することが可能です。
2. セキュリティ対策の効果を把握可能
検出した全ての攻撃可能なルートに対して対策効果を計算することにより、セキュリティ対策を実施した場合のシステム全体のリスク値の変化を可視化して対策の効果を把握することができます。これにより、セキュリティ対策を優先すべき箇所の把握や、対策の妥当性を判断することができるため、効率的なセキュリティ対策の実施が可能です。
3. 実環境に影響無くリスク把握が可能
従来の脆弱性診断ツールやペネトレーションテスト(侵入テスト)では、実環境もしくはその複製環境で分析作業が必要のため、実環境に影響を及ぼす可能性や複製環境の構築コストが課題となっていました。本サービスは、仮想モデル上でシミュレーションを実施し分析を行うため、実環境に影響無くリスク把握が可能です(注3)。
NECは、本サービスをはじめ、多数のセキュリティ専門資格(注4)を有したセキュリティスペシャリストチームがセキュリティ関連のコンサルティングからSIサービス、運用までをトータルで行う「プロフェッショナルサービス」(注5)を提供しています。NECはこれらの提供を通して、サイバー攻撃で事業活動が阻まれることのない持続可能な社会の実現に貢献していきます。
なお、本事業の技術開発の一部は、内閣府が進める戦略的イノベーション創造プログラム(SIP)「IoT社会に対応したサイバー・フィジカル・セキュリティ」(管理法人:NEDO)によって実施されています。
本リリースの詳細は下記をご参照ください。
https://jpn.nec.com/press/202106/20210629_01.html
概要:日本電気株式会社(NEC)
詳細は www.nec.co.jp をご覧ください。
Copyright 2021 JCN Newswire. All rights reserved. www.jcnnewswire.com Via JCN Newswire https://ift.tt/3tXPATt