PR

 米IBM社は2017年7月24日(現地時間)、自動車(コネクテッドカー)とIoTを対象にした、新たなセキュリティーテストサービスを開始すると発表した(英語ニュースリリース日本語ニュースリリース)。同社のセキュリティー専門家チーム「IBM X-Force Red」が提供し、スマートシステムのアクセスや管理の制御に使用されるバックエンドプロセス、アプリケーション、物理ハードウエアのテストなどを行う。

 IBM X-Force Redは、セキュリティー専門家やエシカルハッカー(倫理的なハッカー)から構成するセキュリティーテストチームである。企業のコンピューターネットワークやハードウエア、ソフトウエア、アプリケーションの脆弱性を、サイバー犯罪者より迅速に発見するように支援する。2016年8月の結成以来、1年間で人材やツール、専門知識へ投資し、セキュリティーテスト能力を3倍以上に増強した。

 コネクテッドカー向けセキュリティーテストでは、数十社を超える自動車メーカーとサードパーティーの自動車部品メーカーと協力して専門知識を蓄積し、プログラムに基づいた侵入テストやコンサルティングのサービスを構築した。この自動車業界向け手法の構築は、業界のベストプラクティスとして共有し、セキュリティープロトコルの標準化を支援することを目的とした。

 最新の自動車には、相互接続されたコンポーネントやシステムが数百から数千におよび、それぞれ固有のセキュリティー制御機能や脆弱性が存在する。これらが組み合わさってモバイルアプリや外部サーバーに接続するため、自動車の潜在的な脆弱性の総数は、各コンポーネントの脆弱性の数を上回る。IBM X-Force Redは、これを念頭に置きながら、各コンポーネントで個別のセキュリティーテストを実施するとともに、自動車のシステム全体に対するソリューションベースのセキュリティーテストも実施する。

 また、IBM X-Force Redは、2017年初めにコネクテッドカーに内在する潜在的なセキュリティーリスクに関する調査結果を発表。一部のコネクテッドカーの所有者間で所有権の移転が安全に行われず、悪意ある第三者が自動車の機能(ドアのロック/ロック解除、リモートスタート、ライトやクラクションの制御機能、モバイルアプリで現所有者の位置を特定する機能など)を乗っ取る可能性を指摘した。今回発表した新しい自動車業界向け手法は、この調査結果の一部を活用した。

 IoT向けセキュリティーテストでは、Watson IoT Platformとともに提供する。IBM X-Force Redは、脆弱性を先回りして特定する最善の方法として、製品のライフサイクル全体にわたってプログラムに基づいてオンデマンドでセキュリティーテストを実施するアプローチを採用。Watson IoT Platformの顧客は、IBM X-Force Redのセキュリティー専門知識を活用し、開発から導入まで支援を受けることができる。

 Watson IoT Platformは「設計段階からのセキュリティー」のアプローチを採用し、セキュリティー制御機能をISO27001準拠のクラウドベースのサービスとして提供する。さらに、IoT向けの脅威インテリジェンスによってWatson IoT Platformを拡張する、高度なセキュリティーIoTサービス機能も搭載した。これらの機能により顧客はIoT環境の重大なリスクを可視化し、IoTインシデントにおける業務対応の優先順位付けをポリシーに基づき自動化できる。