NECは6月29日、システムのセキュリティリスクとその対策効果を可視化する「サイバー攻撃ルート診断サービス」の提供を開始した。
　同サービスは、現状のシステムのリスク分析を実施し、セキュリティリスクの全体像と危険度が高く対応を優先すべきリスクを明らかにするとともに、セキュリティ対策を実施した際の危険度の変化を可視化する。これにより、優先順位に基づいた効率的なセキュリティ対策の実施を支援する。販売目標は、今後3年間で240社への提供。

　昨今、新型コロナウイルス感染症の拡大に対応するため、テレワークの導入やクラウドサービスの利用が急速に進んでいる。一方で、サイバー攻撃による被害が深刻化しており、情報漏洩をはじめとしたセキュリティリスクへの対応が事業継続のための経営課題となっている。
　セキュリティリスクへの対応を素早く正確に、かつ効率的に行うためには、システムに内在するリスクとその危険度を理解し、対策の効果や妥当性を判断できることが求められている。

　同サービスは、NECが開発した「サイバー攻撃リスク自動診断技術」を活用し、従来の製品・サービスでは難しかった、システム上に存在する実際に攻撃可能なルートを網羅的に検出するとともに、それぞれの危険度を可視化し、リスクの高いルートを明らかにする。分析結果については、「分析シート作成自動化技術」により列記された全攻撃ルートをセキュリティ専門技術者が分析し、ユーザが理解しやすい形の報告書に整理して提示する。
　NECは「2019年から先行して複数のお客様と検証を進めており、リスク分析や対策効果可視化の有用性を確認している」という。

サービスの特長

攻撃可能なルートを網羅的に検出・分析可能
　従来の脆弱性診断ツールでは、各機器の脆弱性は網羅的に検出できても、実際に攻撃可能なルートの検出までは不可能だった。また、システムが複雑化するほど攻撃可能なルートは増加するため、人手でも網羅的に把握することが困難だ。同サービスでは、サイバー攻撃リスク自動診断技術により、実際に攻撃可能なルートを網羅的に検出・分析することが可能だ。

セキュリティ対策の効果を把握可能
　検出した全ての攻撃可能なルートに対して対策効果を計算することにより、セキュリティ対策を実施した場合のシステム全体のリスク値の変化を可視化して対策の効果を把握することができる。これにより、セキュリティ対策を優先すべき箇所の把握や、対策の妥当性を判断することができるため、効率的なセキュリティ対策の実施が可能だ。

実環境に影響無くリスク把握が可能
　従来の脆弱性診断ツールやペネトレーションテスト(侵入テスト)では、実環境もしくはその複製環境で分析作業が必要のため、実環境に影響を及ぼす可能性や複製環境の構築コストが課題となっていた。同サービスは、仮想モデル上でシミュレーションを実施し分析を行うため、実環境に影響無くリスク把握が可能だ。

　NECは「本サービスをはじめ、多数のセキュリティ専門資格を有したセキュリティスペシャリストチームがセキュリティ関連のコンサルティングからSIサービス、運用までをトータルで行う『プロフェッショナルサービス』を提供している。NECはこれらの提供を通して、サイバー攻撃で事業活動が阻まれることのない持続可能な社会の実現に貢献していく」との考えを示している。
　この事業の技術開発の一部は、内閣府が進める戦略的イノベーション創造プログラム(SIP)「IoT社会に対応したサイバー・フィジカル・セキュリティ」(管理法人:NEDO)によって実施されているという。