新型コロナウイルスの混乱につけ込んだサイバー攻撃が増加しており、企業においてもセキュリティ強化の意識が高まっています。Spirent Communications株式会社は企業のセキュリティについて診断するサービスを展開しています。どのようなサービスなのか、そして診断によってどのような脆弱性が発見されるのか、ジャパン カントリーマネージャー　中村 彰宏氏、セールスデペロップメントマネージャー　ジム　チャン氏にお話を伺いました。

不確実性の高い時代において高まるセキュリティ意識

　Spirent Communications社は、通信機器や情報通信ネットワークのパフォーマンス測定器のパイオニアとして事業を展開しているグローバル企業です。5Gや自動運転、GPSなど、あらゆる通信に関連する測定器を幅広く取り揃えています。主要顧客であるメーカーや標準化団体に近い場所に拠点を構えており、北米ではIT製品の開発を、ヨーロッパではGPSシミュレーターの開発を、中国やインドではソフトウエアの開発を主に行っています。
また、同社はセキュリティ診断サービスの提供も開始しています。ホワイトハッカーチームを持つ企業を買収したことがきっかけとなり、このチームがもともと提供していたサービスをSpirentのブランドで提供することになったのです。ホワイトハッカーとは、サイバー攻撃を防御することに貢献する役割があり、コンピュータやネットワークについて高度な知識を持つスペシャリストのことです。
「セキュリティに対する一般企業の意識は年々高まっています」と話す中村氏によると、診断対象で一番多いニーズは、Web系のシステムだということです。昨今では業種を問わずWebを活用してビジネスを展開することが多くなったため、その分狙われやすいという背景があります。それに次いで多いのが社内ネットワークの診断です。サーバや端末を踏み台にして社内ネットワークに侵入されると、機密情報が盗まれるリスクも高くなります。また、家電や自動車など、いろいろなモノがネットワークにつながってきており、そのデバイスを狙う攻撃も増えているため、製品を開発した際に発売前に診断をしておきたいというニーズも増えています。
特に最近では新型コロナウイルスの影響で、サイバー攻撃が増えています。「在宅勤務をしている人が大幅に増えたために、社内ネットワークにVPNで接続するケースが増え、狙われることが多いです。そのためにVPNに対しての診断の案件が増えています」（チャン氏）。

高スキルを持つホワイトハッカーが多数在籍

　さまざまな企業がセキュリティ診断サービスを提供していますが、同社の強みとしてチャン氏は、技術力と資格を挙げます。「スキルの高いホワイトハッカーが揃っています。彼らは日本だけでなくグローバルで発生している悪意のある攻撃と日々戦っており、高度な技術と経験を持っています。恒例となっているホワイトハッカーが集結する大規模なカンファレンス『DEF CON』にも毎年招待され、研究結果を発表しています」（チャン氏）。

企業がセキュリティ診断を依頼する際には、委託先の会社が持っている資格を重視します。「ホワイトハッカーチームでは、企業のシステムをハッキングして、脆弱性があるかを判断します。つまり、彼らは担当する企業の機密情報にアクセスできるということです。アクセスした情報を悪用しないように、診断を行う企業と担当者には高度な専門性と倫理観が求められます。これを証明するものとして資格の取得が必要になります」（チャン氏）。
セキュリティ診断サービスを提供する企業が取得する資格として代表的なものがCREST Company認定です。CRESTはセキュリティ関連サービスを提供するための専門知識を保有していることを証明する資格で、特に金融系などのセキュリティに厳しいグローバル企業では、この資格を保有していることが診断を依頼する前提条件となっています。「当社は2017年にCRESTを取得しました。取得している企業は日本ではまだ少ないというのも大きな強みになっています。」（チャン氏）。また、ホワイトハッカーも個人で数々の資格を取得しています。

さまざまな種類・規模に対応するセキュリティ診断サービス

　高い技術力を持つ同社のセキュリティ診断サービスには、大きく分けて脆弱性診断とペネトレーションテスト（侵入テスト）があります。脆弱性診断は、対象範囲のネットワーク、ミドルウエア、OS、アプリケーションにおいて脆弱性を特定してランク付けを行い、必要な対策を提案するもので、同社の専用ツールで検知します。
それに対してペネトレーションテストは、ホワイトハッカーが特定した脆弱性について模倣攻撃を行い、実際にどのような被害が出るのかを確認します。

「テストはケースにもよりますが、およそ2週間~1カ月間実施され、顧客が脆弱性を修正後に、再テストを行います。
またテストについても、広い範囲で対応できることが強みとなっています。企業の提供するWebサービス、スマートホームやバンキングで活用されるIoTデバイス、産業IoTと呼ばれる産業用制御システム（ICS／ SCADA）、仮想通貨等を扱うブロックチェーンとさまざまです。

「特にIoT関連の診断を提供できる企業は日本ではまだ少ないですね。その点、当社はグローバルでノウハウを持っており日本でも多くの事例があります」（チャン氏）。もともと工場はインターネットとは独立した環境であることが多かったために攻撃のリスクが低く、セキュリティに対する関心は高くありませんでした。しかし最近ではスマート工場でインターネットに接続されているケースも増えており、ニーズが高まっています。
また同社ではペネトレーションテストを拡張した「レッドチーミング」のサービスも提供しています。脆弱性診断やペネトレーションテストは、Webサービス、社内のネットワークというように攻撃の対象を明確にします。それに対して、レッドチーミングの場合は、「企業が持つ個人情報を流出させる」「工場のラインをシャットダウンする」といった目標を設定して、ホワイトハッカー（レッドチーム）があらゆる手段で攻撃を試みるというものです。そのためレッドチーミングのテスト範囲はサイバー攻撃だけではありません。例えば社員が開設しているSNSから個人情報を入手して、マルウエアの添付されたE-Mailを送り付けてクリックさせる、情報システム部門の担当者に電話をかけて社員のアカウント情報を聞き出す、といったソーシャルエンジニアリングの攻撃手法も含まれます。「レッドチーミングのサービスは日本ではまだ浸透していませんが、欧米ではすでに事例があります」（チャン氏）。
こうした幅広い対応力に加えて、価格の競争力を持っているのも同社の強みです。「高度なツールを多数駆使して効率化した分を顧客に還元しています。今までの実績では競合他社と比較して、1／10～1／3程度に収まっています」（チャン氏）。

Spirent社でこれまで発見した脆弱性の例

　セキュリティ診断サービスを受けることで、どういった脆弱性が発見されるのでしょうか。チャン氏に一例を紹介していただきました。

企業ホームページ

政府機関や一般企業が開設しているホームページのコンテンツやシステムが任意に変造されるリスクがあります。「不適切な内容が企業のホームページに表示される、あるいはアクセスしたユーザーの端末に不正プログラムがインストールされる脆弱性が含まれていることが多いです。問題が発生すると、企業イメージが低下して被害額に換算できないほどのダメージになります」（チャン氏）。

決済システム

お金を扱うだけに、セキュリティも厳しくなる領域ですが、最近ではスマートフォン決済サービスで不正利用が相次ぐといった問題が発生しています。「当社では別のお客さまで同様の問題をホワイトハッカーが発見して、事前に修正できたという事例もあります」（チャン氏）。

自動車のナビシステム

ナビシステムは個人情報を保持しており、また、ナビシステムを経由して車のアクセル、ブレーキの制御部分にアクセス可能なこともあり、セキュリティのリスクが高くなります。「加速・減速の制御をハッキングされた事例もあります。当社のホワイトハッカーが車を購入して趣味でハッキングを行ったら、かなりの脆弱性が見つかったため、メーカーに報告したということもありました」（チャン氏）。

高度な技術力が評価され、毎年新しいサービスが開発されると同社のセキュリティ診断サービスを利用する顧客もいるそうです。

高品質なセキュリティ診断サービスを企業の身近な存在に

　日本ではセキュリティに対する意識は高まっているものの、欧米と比較すると大きな差があると中村氏は指摘します。「グローバル企業では、売上の何％かをセキュリティに投資するということが決まっていることが多いのですが、日本企業の場合、案件ベースでセキュリティ予算を確保しなければいけないのが現状です」（中村氏）。
しかしセキュリティ診断サービスの紹介をすると、多くの企業が関心を持つことから、必要としている企業にサービスが届けられていないとチャン氏は考えています。「価格もクオリティも競争力があり、本当に自信を持っているサービスなので、より多くの企業に提供していきたいと考えています」（チャン氏）。
「今まで当社が診断した顧客がその後攻撃された、といったことは一度もありません。このクオリティがお客さまに支持されて、リピートオーダーにつながっていると思います。ぜひサービスを守るお手伝いをさせてください」（中村氏）。