ラック 執行役員 内田昌宏氏

ラックは17日、企業内に存在する「内部脅威」、および外部からの攻撃リスク「外部脅威」に対応するための情報セキュリティ新サービス3種の提供を開始した。ラックがこれまで蓄積してきたセキュリティに関するさまざまなノウハウを体系化したサービスといえるもので、「攻撃の原因を作らないIT実装を、顧客の環境に合わせた運用レベルまで落とし込む」(ラック 執行役員 内田昌宏氏)ことを目的とする。コンサルティングベースとなるため、いずれのサービスも価格は個別になるという。

新しく提供されるサービスは以下の3つとなる。

IT実装コンサルティングサービス

ラックが独自に確立したフレームワークに基づく、包括的なプランニングサービス。顧客の情報セキュリティの現状を正確に把握するところから始め、網羅的なリスク分析、顧客のIT戦略/予算にあった対策有効性評価を行い、裏付けをもったITロードマップを策定する。このロードマップをベースに、設計、構築、運用までをワンストップで提供する。

ログ統合管理システム構築・運用サービス

ログを利用した内部脅威への対応策。「ログは未収集」「ログは取っているが、一元管理できていない/活用しきれていない」といった顧客を対象に、ログに関する現状調査/評価から、管理方針の策定、管理システムの要件定義、設計、システム構築、運用/保守までのサービスを一貫して提供する。

アプリケーションセキュリティ実装サービス

SQLインジェクションなど外部脅威に備える対応策。Webをビジネスの主軸としている企業を対象に、すでに稼働中のWebサイトの場合は攻撃を低減する実装などを行い、新規にWebサイトを立ち上げる場合は開発の要件定義/設計から運用に至るまで、ソースコードにまで踏み込んだ脆弱性のチェックと対策を提言する。

内田氏はこれらのサービスを開始した背景として、SQLインジェクションを中心とするWebサイトへの攻撃がここ数カ月で激増していること、ならびにJ-SOX施行に伴ってIT統制実現に必要とされるセキュリティ対策を明確にする必要に迫られている企業が増えていることを挙げ、「内部/外部を問わず、攻撃の原因を作らないシステムを作り、実際に運用できるレベルにまで落とし込む必要がある」とする。

ラックはこれまで、「マネージド・セキュリティ・サービス」によるSQLインジェクション攻撃の検知や、情報セキュリティの"駆け込み寺"的存在である「個人情報漏えい緊急対策サービス 個人情報119」、Apacheに対応した無料ログ解析ツール「SecureSite Checker Free」の提供などを通して、セキュリティリスクの事象傾向や発生原因の特定、対処方法などに関する経験を蓄積してきている。また、24時間365日稼働のセキュリティオペレーションセンター「JSOC」において、1日2億件にも上るログ分析を行ってきた実績をもつ。これらのノウハウを生かし、「インシデントの事後ではなく、事前にリスクを検知できるサービス」を顧客のレベルに応じて提供するのが、今回の新サービス3種にあたるという。

"To defeat the enemy without, we must defeat the enemy within.(外の敵に立ち向かうには、内なる敵にも勝たなければならない)" - 最後に内田氏はこのフレーズを掲げ、内部/外部双方からのリスクを事前に検知する必要性を強調し、「単なるコンサルティングに終わるのではなく、実際に(顧客が)サービスを運用できるところまでサポートすることが重要」とした。