製品情報セキュリティ
16.Mar.2020
Onward Security「DevSecOps」の安全機能、情報セキュリティの問題をらくらく解決
モノのインターネット(IoT)時代、設備メーカーやブランドの多くがネットワーク製品を世に送り出し、市場投入のスピードが増していますが、スピードを重視しすぎて情報セキュリティの品質が疎かになりがちで、脆弱性が多数潜んだ設備が市場に投入されています。他国の政府やハッカーによって製品の情報セキュリティの脆弱性が露見することが多々あり、消費者の権益を毀損し、訴訟にさえ発展することもあり、メーカーの信頼とブランド価値が大きく損なわれています。
政府の法律規定によって情報セキュリティ基準とバイヤーの要求水準がますます高まっています。設備メーカーはますます高い基準が求められるようになり、機能テストの実施に加え、ソフトウェア開発ライフサイクル(SSLDC)を導入して情報セキュリティ要件を満たすことが求められています。ところが、多くのメーカーでは、情報セキュリティの運用力や検査能力の向上が求められ、情報セキュリティコンプライアンステストにおける各層の要求を満たすには不十分です。これを背景にネットワーク製品の情報セキュリティ分野で長年の実績を誇るOnward Securityは、情報セキュリティコンプライアンスに対応したテスト自動化プラットフォーム「HERCULES SecFlow」と「SecDevice」を発売しました。企業クライアントがDevSecOpsを実現し、国際情報セキュリティ基準とエンドカスタマーの情報セキュリティ要件を満たすようサポートしています。
メーカーは、法令や基準が次々定められていることに対してDevSecOpsによるスピーディーな開発方式で製品を市場に投入する時間を手にしながら、製品の情報セキュリティに関する品質が求められました。そのため、DevSecOpsの方式を採用すれば実現、対応できます。ただし、この方式は製品のリスク評価、ソフトのセキュリティ開発、脆弱性検査技術があって初めて実現可能であり、3つのうちどれか1つでも欠けると不可能です。多くのメーカーにとってプロのチーム結成はハードルもコストも高く、少なくとも1〜2年の歳月が必要であるため、まさに大きな挑戦です。
Onward Securityの「HERCULES」は情報セキュリティコンプライアンスに対応したテスト自動化プラットフォームであり、顧客の参入障壁を下げて、製造工程を短縮することが当初のコンセプトでした。そのうち、製品の情報セキュリティ管理プラットフォームである「SecFlow」は、顧客の「情報セキュリティ規範」の要件を解決します。また、開発チーム、情報セキュリティチーム、オペレーションチームの3つのチームの間の情報を共有して協力することで、顧客がDevSecOpsシステムをいち早く構築しながら、開発プロセスのコンプライアンスに対応するお手伝いをして、製品の情報セキュリティリスクを完全にコントロールできます。顧客の情報セキュリティシステムの迅速な構築の他、SecFlowは、オープンソースライブラリのリスク分析、製品脆弱性の管理、セキュリティアクシデントの処理など多彩な機能で開発チーム、情報セキュリティチーム、オペレーションチームが関連する対策を打ち立てられるようにします。
脆弱性テスト自動化ツールとしてのSecDeviceは、製品開発と検査におけるDevSecOpsのタイムリー性の問題を解決するものであり、主に開発チームが完成させた製品を対象に、ネットワークを介してハッカーの攻撃方法をシミュレーションし、迅速かつ正確な脆弱性のスキャンを行うことで、製品の市場投入前に各部門の段階で製品の情報セキュリティ品質を十分に確認することができます。
李所長は「さらに重要なことは、HERCULESが100%国内で開発した製品の情報セキュリティコンプライアンスソリューションということであり、最高の専門的サービスを提供するほか、独自のAI技術を持っているということです。」と語っています。情報セキュリティの脆弱性検査は、主に2つの方法があります。一つが、国際的な脆弱性データベース(CVE)と比較して既知の問題を発見する脆弱性のスキャン、もう一つが、未知の情報セキュリティの脆弱性を検出することを目的としたファジングです。ファジングは検査価値と技術的な敷居がより高くなっています。
SecDeviceのセールスポイントは、ファジングでIoT製品の未知のセキュリティ脆弱性を発見することに加え、特許を取得した数々の技術を使用しているということです。特許技術の1つ目は「攻撃テストケース生成」です。独自のアルゴリズムで最適なテストケースを重複せず生成し、被検査設備に対して最も効果的な脆弱性テストを実施することで、システムの安定性とエラー処理能力を最も合理的な検査内容と時間で完全にテストすることができます。2つ目は「検査対象設備の状態分析」で、医師が患者の呼吸数を確認するように、検査対象設備の反応を学習・分析して脆弱性の検出をより正確に行うことができますので、検査者は頻発する誤判定の問題を抑えることができます。また、SecDeviceはAI自動学習技術を搭載しており、より多くのアプリケーションやさまざまなIoT設備や利用場面に触れながら、今後の5Gやメーカーが開発したネットワークプロトコルの脆弱性テストを迅速かつ容易に実行することが可能です。これら3つの独自の技術により、SecDeviceは市場に出回っている他のツールより速く正確に完全な製品の情報セキュリティ検査を実行することができ、DevSecOpsのアジリティのコンセプトに対応します。
現在のSecDeviceのユーザーについて言及すると、元々機能テストしかできなかったネットワークデバイス開発メーカーが、SecDevice導入後2か月以内に製品の情報セキュリティテストを実行できるようになり、ある別のメーカーの顧客は、多くの製品でテストと検品作業を実行し、テスト結果はさまざまなソフトウェア開発チームにフィードバックすることが必要でしたが、テストの量は多くなっているものの、導入時間およびシステム構築時間は前者のメーカーと変わりません。
一般的に、企業が自社の製品セキュリティテストチームをゼロから立ち上げるには、少なくとも平均5名の専門スタッフ、事業用の専門検査ツールが必要で、結成まで最低でも1年から2年かかります。SecDeviceの最大の価値は、元々の検査の敷居を大幅に下げることで、企業が製品のセキュリティと品質をより速く保証できるようになることにあります。
李所長は、現在の製品全体の販売状況を見ると、SecFlowとSecDeviceは国内顧客であるブランドとメーカーの導入成功ケース以外に、中国、日本、インドの海外大手メーカーも次々購入、採用していると述べています。各事例の導入実績から李所長は国内企業がDevSecOpsの導入によって、製品の市場投入までのプロセスが狂うことを危惧しているなら、まず、検査(SecDevice)を導入して情報セキュリティ品質を確保し、続いて情報セキュリティ管理プロセスと仕組みを確立する漸進的な導入も提案しています。
特筆すべきことの一つは、HERCULES SecFlow&SecDeviceがその独創的なデザインコンセプトを以って、よく国際的な賞を獲得しています。製品のSecFlow及びSecDeviceは2年連続で「InfoSecurity Product Guide」にて情報セキュリティ事件管理とIoTのカテゴリーで金賞を獲得しました。そして「CyberSecurity Excellence Awards」にて脆弱性管理と情報セキュリティ事件対応処理及び組み込みシステムとIIoTデバイスの情報セキュリティのカテゴリーで金賞を獲得しました。
また、今年の「InfoSec Awards」では、SecFlowが「脆弱性・インシデント管理部門」で最優秀製品賞を、SecDeviceが「IoT産業制御部門」で次世代製品賞を受賞し、2つの製品がダブル受賞を果たしました。セキュアなソフトウェア開発プロセスと製品情報のセキュリティテストで正確かつ効果的に顧客を支援できることが主な受賞理由です。
政府の法律規定によって情報セキュリティ基準とバイヤーの要求水準がますます高まっています。設備メーカーはますます高い基準が求められるようになり、機能テストの実施に加え、ソフトウェア開発ライフサイクル(SSLDC)を導入して情報セキュリティ要件を満たすことが求められています。ところが、多くのメーカーでは、情報セキュリティの運用力や検査能力の向上が求められ、情報セキュリティコンプライアンステストにおける各層の要求を満たすには不十分です。これを背景にネットワーク製品の情報セキュリティ分野で長年の実績を誇るOnward Securityは、情報セキュリティコンプライアンスに対応したテスト自動化プラットフォーム「HERCULES SecFlow」と「SecDevice」を発売しました。企業クライアントがDevSecOpsを実現し、国際情報セキュリティ基準とエンドカスタマーの情報セキュリティ要件を満たすようサポートしています。
製品の情報セキュリティ評価とDevSecOpsプロセスによる迅速な開発で、顧客の情報セキュリティニーズを確実に満たします
開発総監督を兼任するOnward Security製品開所の李育杰所長は、各国の情報セキュリティ関連法と政策が目まぐるしく変わっていると指摘しています。具体例として、米国FDA、EUが相次いで医療機器メーカーに対して情報セキュリティの規範を、米国カリフォルニア州では米国初となるIoTセキュリティ法(SB-327) を定め、米国国防総省がCMMC(サイバーセキュリティ成熟度モデル認証を発表しています。そして、世界的なネットワーク設備メーカーがサプライヤーへ製品情報セキュリティ要件を課しており、新しい規制が次々現れて設備メーカーにとって製品投入とコンプライアンス対応の圧力になっています。メーカーは、法令や基準が次々定められていることに対してDevSecOpsによるスピーディーな開発方式で製品を市場に投入する時間を手にしながら、製品の情報セキュリティに関する品質が求められました。そのため、DevSecOpsの方式を採用すれば実現、対応できます。ただし、この方式は製品のリスク評価、ソフトのセキュリティ開発、脆弱性検査技術があって初めて実現可能であり、3つのうちどれか1つでも欠けると不可能です。多くのメーカーにとってプロのチーム結成はハードルもコストも高く、少なくとも1〜2年の歳月が必要であるため、まさに大きな挑戦です。
Onward Securityの「HERCULES」は情報セキュリティコンプライアンスに対応したテスト自動化プラットフォームであり、顧客の参入障壁を下げて、製造工程を短縮することが当初のコンセプトでした。そのうち、製品の情報セキュリティ管理プラットフォームである「SecFlow」は、顧客の「情報セキュリティ規範」の要件を解決します。また、開発チーム、情報セキュリティチーム、オペレーションチームの3つのチームの間の情報を共有して協力することで、顧客がDevSecOpsシステムをいち早く構築しながら、開発プロセスのコンプライアンスに対応するお手伝いをして、製品の情報セキュリティリスクを完全にコントロールできます。顧客の情報セキュリティシステムの迅速な構築の他、SecFlowは、オープンソースライブラリのリスク分析、製品脆弱性の管理、セキュリティアクシデントの処理など多彩な機能で開発チーム、情報セキュリティチーム、オペレーションチームが関連する対策を打ち立てられるようにします。
脆弱性テスト自動化ツールとしてのSecDeviceは、製品開発と検査におけるDevSecOpsのタイムリー性の問題を解決するものであり、主に開発チームが完成させた製品を対象に、ネットワークを介してハッカーの攻撃方法をシミュレーションし、迅速かつ正確な脆弱性のスキャンを行うことで、製品の市場投入前に各部門の段階で製品の情報セキュリティ品質を十分に確認することができます。
SecDeviceは複数の特許取得技術で独自のファジングを実現
李所長は、脆弱性検出やスキャンを売りとするツールも市場に投入されていますが、設計コンセプトはほとんどが一般的な情報システムに基づいているためIT担当者しか使用できず、技術的な問題を解決して個々の不足箇所を補うしかできないと指摘しました。一方、HERCULES SecFlowとSecDeviceは、製品がより早く市場に参入できるようコンプライアンスに対応することを出発点として規制要件の項目内容やその対応策を重視し、IoT関連製品の情報セキュリティコンプライアンス問題を解決します。李所長は「さらに重要なことは、HERCULESが100%国内で開発した製品の情報セキュリティコンプライアンスソリューションということであり、最高の専門的サービスを提供するほか、独自のAI技術を持っているということです。」と語っています。情報セキュリティの脆弱性検査は、主に2つの方法があります。一つが、国際的な脆弱性データベース(CVE)と比較して既知の問題を発見する脆弱性のスキャン、もう一つが、未知の情報セキュリティの脆弱性を検出することを目的としたファジングです。ファジングは検査価値と技術的な敷居がより高くなっています。
SecDeviceのセールスポイントは、ファジングでIoT製品の未知のセキュリティ脆弱性を発見することに加え、特許を取得した数々の技術を使用しているということです。特許技術の1つ目は「攻撃テストケース生成」です。独自のアルゴリズムで最適なテストケースを重複せず生成し、被検査設備に対して最も効果的な脆弱性テストを実施することで、システムの安定性とエラー処理能力を最も合理的な検査内容と時間で完全にテストすることができます。2つ目は「検査対象設備の状態分析」で、医師が患者の呼吸数を確認するように、検査対象設備の反応を学習・分析して脆弱性の検出をより正確に行うことができますので、検査者は頻発する誤判定の問題を抑えることができます。また、SecDeviceはAI自動学習技術を搭載しており、より多くのアプリケーションやさまざまなIoT設備や利用場面に触れながら、今後の5Gやメーカーが開発したネットワークプロトコルの脆弱性テストを迅速かつ容易に実行することが可能です。これら3つの独自の技術により、SecDeviceは市場に出回っている他のツールより速く正確に完全な製品の情報セキュリティ検査を実行することができ、DevSecOpsのアジリティのコンセプトに対応します。
現在のSecDeviceのユーザーについて言及すると、元々機能テストしかできなかったネットワークデバイス開発メーカーが、SecDevice導入後2か月以内に製品の情報セキュリティテストを実行できるようになり、ある別のメーカーの顧客は、多くの製品でテストと検品作業を実行し、テスト結果はさまざまなソフトウェア開発チームにフィードバックすることが必要でしたが、テストの量は多くなっているものの、導入時間およびシステム構築時間は前者のメーカーと変わりません。
一般的に、企業が自社の製品セキュリティテストチームをゼロから立ち上げるには、少なくとも平均5名の専門スタッフ、事業用の専門検査ツールが必要で、結成まで最低でも1年から2年かかります。SecDeviceの最大の価値は、元々の検査の敷居を大幅に下げることで、企業が製品のセキュリティと品質をより速く保証できるようになることにあります。
オープンソースライブラリのリスク分析で、セキュリティリスクを迅速に排除
SecFlowは多彩な機能を搭載し、顧客が開発段階で事前にセキュリティ問題を最小限に抑え、市場投入後に問題が見つかって修復するコストを削減することができます。「オープンソースライブラリのリスク分析」モジュールを例にとると、開発チームは、製品に関連する全ての情報をあらかじめシステムに組み込み、その「関連性」を継続的に最適化しています。その結果、製品の脆弱性がオペレーションチームに報告された際、情報セキュリティチームは1日以内に開発チームによる影響範囲の調査特定を支援し、問題を共通認識して2週間以内に完全な処理を行います。これまでの企業は保守チームやセキュリティチームがセキュリティインシデントについてヒアリング後、他のチームを派遣して調査を行うだけで最低3か月かかり、役割分担や責任の所在が不明で問題解決することができませんでした。しかし、SecFlowはなら、開発、情報セキュリティ、オペレーションの3つのチーム間の連携をとり、現在、製品の様々なセキュリティ問題を共同で解決することができます。李所長は、現在の製品全体の販売状況を見ると、SecFlowとSecDeviceは国内顧客であるブランドとメーカーの導入成功ケース以外に、中国、日本、インドの海外大手メーカーも次々購入、採用していると述べています。各事例の導入実績から李所長は国内企業がDevSecOpsの導入によって、製品の市場投入までのプロセスが狂うことを危惧しているなら、まず、検査(SecDevice)を導入して情報セキュリティ品質を確保し、続いて情報セキュリティ管理プロセスと仕組みを確立する漸進的な導入も提案しています。
特筆すべきことの一つは、HERCULES SecFlow&SecDeviceがその独創的なデザインコンセプトを以って、よく国際的な賞を獲得しています。製品のSecFlow及びSecDeviceは2年連続で「InfoSecurity Product Guide」にて情報セキュリティ事件管理とIoTのカテゴリーで金賞を獲得しました。そして「CyberSecurity Excellence Awards」にて脆弱性管理と情報セキュリティ事件対応処理及び組み込みシステムとIIoTデバイスの情報セキュリティのカテゴリーで金賞を獲得しました。
また、今年の「InfoSec Awards」では、SecFlowが「脆弱性・インシデント管理部門」で最優秀製品賞を、SecDeviceが「IoT産業制御部門」で次世代製品賞を受賞し、2つの製品がダブル受賞を果たしました。セキュアなソフトウェア開発プロセスと製品情報のセキュリティテストで正確かつ効果的に顧客を支援できることが主な受賞理由です。