NEWS「脅威対策はまず内部から」、ラックがIT統制支援のセキュリティサービスを開始

ラックは内部脅威対策にフォーカスし、「IT実装コンサル」「ログ管理」「アプリケーションの脆弱性チェック」の3サービスを新たに開始した。

[堀見誠司，TechTargetジャパン]

　セキュリティサービスベンダーのラックは6月17日、内部脅威（組織内部で発生し得るセキュリティ脅威）に対応する3つの情報セキュリティ対策サービスを開始した。ログ管理やアプリケーション診断など同社のノウハウを生かし、ユーザーの実環境に適合するリスク分析やシステム実装を行う。価格は約1000万円からで、従業員数千人規模の企業が対象。

　ラックが提供するサービスは次の3種類。

IT実装コンサルティングサービス
ログ統合管理システム構築・運用サービス
アプリケーションセキュリティ実装サービス

　1は、いわゆるコンプライアンス対応で必要なセキュリティフレームワーク導入のためのコンサルティングサービス。ユーザーの実環境を把握して、具体的なリスク評価分析を実施する。「ISMS（情報セキュリティマネジメント）やCOBIT（ITガバナンス成熟度測定）のフレームワークをそのまま当てはめるのではなく、ユーザー指標に基づいた実効性のあるIT実装のロードマップを定める」（ラック執行役員の内田昌宏氏）。

「外部の脅威がますます増える中、攻撃の原因を作らない対策・実装が必要」と事前対策の重要さを説く内田執行役員

　2は、セキュリティ監査のためのログ管理システムの構築やリポーティングを行うサービス。同社のセキュリティ監視センター「JSOC」で蓄積したノウハウをつぎ込み、ログ収集を実施済みのユーザーに対しても、ログの一元管理／可視化を実現するシステム運用や分析リポートの提出を通して、ログの有効活用を支援する。なお、ログ管理製品を導入した場合は約1000万円、リポーティングには月額50万円の追加コストが必要。

　そして3は、電子商取引など安全性が重視されるWebサイトの脆弱性対策をシステム開発・運用の両フェーズで支援するサービスで、セキュリティを配慮した設計書（ガイドライン）の作成やツールを利用したWebアプリケーションの脆弱性診断を行う。また、アプリケーションだけでなく、サーバ、ネットワーク機器、OS、データベース、アプリケーションサーバといったWebサイトのほかの構成要素についても要件定義や診断を実施、セキュアなシステム作りを目指す。内田氏によると、Webサイトはまずシステムありきで構築されているケースが多く、セキュリティ対策にまで手が回っていないのが実情だという。このサービスの提供には、SQLインジェクションなどアプリケーションの脆弱性を突く攻撃に備えることをユーザーに啓もうする目的もある。

アプリケーションセキュリティ実装では、開発段階のソースコードレベルでの脆弱性検査も実施。厳密には外部脅威対策だが、事前対策の重要性を訴える《クリックで拡大》

　同社はこれら3サービスで年間5億円の売り上げを見込む。内田氏は、企業がコンプライアンス対応のため、セキュリティポリシーの順守とその担保という内部脅威対策に本格的に取り組まざるを得ない状況にあると、サービス提供の背景を説明する。そして「事前の予防策で内部への脅威をなくすことで初めて、外部の脅威にも対抗できる」と語った。