テスト受託大手のデジタルハーツが企業向けの新たなセキュリティー診断サービスを2019年7月末に始める。顧客企業のシステムを常時監視し、怪しいシステムを見つけたら全世界1000人のホワイトハッカーが「集中攻撃」して脆弱性を見つけ出す。従来も1000人の侵入テストを提供していたが、期間が限られていた。いわゆるペネトレーション(侵入)テストは他社も既に手掛けるが、世界中のホワイトハッカーを動員しての大規模・継続的サービスは珍しい。

 セキュリティー診断サービスを手掛ける米シナック(Synack)と共同で提供する。シナックがシステムの監視とペネトレーションテストを担当し、デジタルハーツがサービスの販売や顧客サポートなどを受け持つ。

 シナックは米国家安全保障局(NSA)出身者が設立した企業で、米国の国防総省(ペンタゴン)や税務局などを顧客に持つ。ペンタゴンのシステムへの侵入を競う報奨金制度「ハック・ザ・ペンタゴン」にも参加している。

 同社の特徴が世界50カ国から集めて契約した1000人のホワイトハッカー集団だ。書類審査や対面の面接、スキル調査、身元や身辺の調査を経て契約する。「採用率は1割未満。世界で最も優秀で、倫理的なハッカーたちだ」。シナックの営業責任者を務めるジム・ハイマン氏はこう胸を張る。

営業責任者であるCRO(チーフ・レベニュー・オフィサー)を務めるジム・ハイマン氏
[画像のクリックで拡大表示]

 シナックは独自開発システムを使った常時監視とホワイトハッカーによるペネトレーションテストを組み合わせて提供する。監視システムは発見済みの脆弱性情報を基に顧客企業のシステムを自動的に調べて脆弱性を見つけ出す。加えて過去の検査で侵入に成功したパターンを機械学習した結果を基に、「脆弱性と疑わしい箇所を洗い出す」(ハイマン氏)。集めるデータは脆弱性のパターンのみで、顧客企業のシステム自体の情報は保存しないという。

セキュリティー診断サービスの概要。ホワイトハッカーによる攻撃部隊「Synack Red Team」と監視システム「Hydra」を組み合わせる
(出所:米シナック、以下同)
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら