IBM、新しいセキュリティテストグループ「X-Force Red」を結成

米IBMはエキスパートによるセキュリティテストチームを拡充し、新たに「IBM X-Force Red」を組織した。

[ITmedia]

　米IBMは現地時間8月2日、セキュリティの専門家とエシカルハッカー（倫理的なハッカー）のグループ「IBM X-Force Red」（X-Force Red）の結成を発表した。コンピュータネットワーク、ハードウェア、ソフトウェア、アプリケーションの脆弱性を企業がサイバー犯罪者よりも迅速に発見できるよう支援するとしている。

　X-Force Redは、IBMセキュリティサービスに所属し、米国、英国、オーストラリア、日本など、世界中の数十の場所を拠点とする数百人のセキュリティ専門家によるネットワークを持つグローバルチーム。これまで企業や政府機関に対し、侵入テスト、エシカルハッキング、ソーシャルエンジニアリング、物理的なセキュリティテストなどを実施してきている。セキュリティテストの専門家が、医療、金融サービス、小売、製造、公共分野など、複数の業界にわたる専門知識を提供するとしている。

　具体的には、以下の4分野を重点にサービス提供する。

• アプリケーション……侵入テストおよびソースコードレビューにより、Web、モバイル、端末、メインフレーム、ミドルウェアプラットフォームの脆弱性を識別
• ネットワーク……内部、外部、無線、その他高周波の帯域幅への侵入テスト
• ハードウェア……IoT、ウェアラブルデバイス、PoSシステム、ATM、自動車システム、セルフレジ端末などをテストし、デジタル領域と物理領域間のセキュリティを検証
• ヒューマン……フィッシング攻撃、ソーシャルエンジニアリング、ランサムウェア、物理的なセキュリティ違反のシミュレーションを実施し、人間の行動によるリスクを判断

　提供モデルは「個別プロジェクト」「サブスクリプションベーステスト」「マネージドテストプログラム」の3つ。全モデルに脆弱性解析が含まれ、企業はセキュリティ対策への支出を柔軟に調整できる。アプリケーション／ネットワーク展開のライフサイクル全体にわたる脆弱性調査と管理を含めた、オンデマンド型のテスト体制を整えることができるとしている。

　IBMによれば、セキュリティ事故は増加傾向にあるが、企業のセキュリティテストは十分に行われず、33％の企業はモバイルアプリを検査していないと指摘。サイバー攻撃者側は既存テクノロジーを徹底的に調べ上げていることを踏まえ、安全性を確保・維持するには、定期的なセキュリティテストが必須だとしている。