ベライゾンがセキュリティリスクを定量化、サプライチェーンのリスクも見える：製造ITニュース

　ベライゾン（Verizon）は2018年3月28日、新開発のセキュリティアセスメントフレームワーク「ベライゾンリスクレポート（以下、VRR）」を発表した。全世界のインターネットトラフィックの70％をカバーするという同社の広大なIPバックボーンから得た知見と機械学習などの最新技術を組み合わせ、セキュリティリスクの状態を示すスコアや、スコアに対応するセキュリティコストなどを分かりやすく“見える化”するレポート機能が最大の特徴。日本国内では同年4月14日から受注を始める予定だ。

ベライゾンのジョン・ハインス氏

　同社 アジアパシフィック サイバーセキュリティ 最高責任者のジョン・ハインス（John Hines）氏は「セキュリティ全体を取り巻く状況が大きく変化している。IoT（モノのインターネット）をはじめエンドポイントは急増する一方で、サイバー犯罪は大きなビジネスと化し、サイバー攻撃者は企業の知財や顧客データ、重要インフラ、金融資産をはじめ全てのものを攻撃対象にしている」と語る。

　セキュリティに関する問題が複雑になるとともに、セキュリティ関連の人材確保も難しくなっている。関連規制は厳しくなり、企業が守るべき範囲も広がっている。「従来の基礎的なセキュリティだけで対応を続けていくのは困難だ。技術のみならず、人やプロセスが重要な役割を果たすようになっており、その企業自身だけでなくサプライチェーンに関わる企業や利用しているクラウドについてもセキュリティを検討しなければならない。そのためには、ベストプラクティスに基づく標準的な手法ではなく、リスクに基づく戦略的な手法が必要だ。そしてセキュリティの問題は、もはや情報システム部門だけのものではなく、経営幹部レベルがきちんと理解しておくべきものになっている。ITリスクではなく、企業リスクなのだ」（ハインス氏）という。

3つのレベルで進める導入プロセス

　これらのセキュリティの課題に対して、VRRは「定量化」のアプローチをとっている。企業が扱うデータを分析してサイバー関連のリスクを定量化した後、脅威情報を機械学習にかけることで脆弱性を低減するとともに、サイバー攻撃への検出能力や即応性を高められるとする。

「定量化」のアプローチをとる「VRR」（クリックで拡大） 出典：ベライゾンジャパン

　VRRの具体的な導入プロセスは「アウトサイドイン・ビュー」「インサイドアウト・ビュー」「カルチャー＆プロセス・ビュー」という3つのレベルに分けられている。レベル1の「アウトサイドイン・ビュー」では、ビットサイト（BitSight）のセキュリティレーティングサービスやレコーデッドフューチャー（Recorded Future）のディープウェブやダークウェブの情報と併せて外部評価を実施する。「ベライゾンが蓄積してきた約11年のセキュリティサービスのノウハウも活用する」（ハインス氏）という。

「VRR」の導入プロセス。3つのレベルに分かれている（クリックで拡大） 出典：ベライゾンジャパン

　レベル2の「インサイドアウト・ビュー」では、ユーザー企業の社内システムの内部分析を行う。サイランス（Cylance）とタニウム（Tanium）を用いたソフトウェアセンサーをエンドポイント上に展開することで、より高精度な内部リスクの評価が可能になる。また、このレベル2では、ユーザー企業が属する業界特有の傾向なども分析可能になるという。

　そしてレベル3の「カルチャー＆プロセス・ビュー」で、ユーザー企業の組織的行動、文化、プロセスなどに対する定性的評価を行い、レベル1と2の情報と統合することにより、全方位の視点を持ったセキュリティの取り組みが可能になる。

　また、VRRの画面も経営幹部に対する「見える化」を意識した分かりやすい構成になっている。現在のセキュリティスコアの表示に競合他社と比較を示したり、セキュリティの改善ポイントをドリルダウンで確認できたり、セキュリティの強化に向けての投資判断をしやすくするため領域ごとにA〜Fのスコア付けをしたりしている。

「VRR」の画面（クリックで拡大） 出典：ベライゾンジャパン

　VRRの導入には、レベル1で数日、レベル2で2週間〜1カ月ほどかかる。レベル3はレベル2と同時並行で行う。「最速で数カ月で導入が完了する」（ハインス氏）という。

日本におけるセキュリティサービス事業を3年間で4〜5倍に拡大へ

ベライゾンジャパンの藤井一弘氏

　ベライゾンと言えば、米国の通信キャリアとして知られているが、セキュリティサービスも展開している。日本法人・ベライゾンジャパン 執行役員 社長の藤井一弘氏は「調査会社の第三者評価では、マネージドセキュリティでは通信キャリアの中でトップの評価を得ている。今回のVRRは、その経験から培ったものを新たなサービスと提供するものだ」と説明する。グローバルで9カ所のサイバービジネスセンターを展開し、約2000人がセキュリティサービス事業に従事している。

　VRRの発表を契機に、日本国内におけるセキュリティサービスの事業展開も広げていく構えだ。「グローバル対応が求められている製造業を中心に、既に多くの引き合いをいただいている。対応力を強化するため人員の増強などを進めている」（藤井氏）という。

　特にVRRについては、製造業への提案活動を積極的に進めていく方針だ。藤井氏は「製造業はサプライチェーンを構築するために、さまざまな企業とネットワークでつながっている。VRRは、そういった社外の企業とのつながりに関するセキュリティリスクも評価できる。2018年4月からの提供は英語版だが、多言語対応のロードマップに日本語版も入っている。VRRを皮切りに、ベライゾンの日本におけるセキュリティサービス事業を2018〜2020年の3年間で4〜5倍に引き上げたい」と述べている。