セキュリティ製品の有効性検証の試行について

1．重要分野の選定
　・「脅威の可視化」
　・「脆弱性の可視化」
　・「IT資産管理」
 

　 重要分野の議論を整理した結果を以下に示します。
　・2019年度版セキュリティ製品・サービス重要分野マップ(498KB)

2．製品公募^*2の実施と選定

　　2019年1月14日～20日に実施し、有識者会議による審査の結果、下記2製品を選定しました。
 
　（1）「yamory」(読み仮名：ヤモリ)：ビジョナル・インキュベーション株式会社
　（2）「AX-Network-Visualization(以下、AX-NV)」(読み仮名：エーエックスエヌブイ)
　　　　　　　　　　　　　　　　　　　　　　　　：アラクサラネットワークス株式会社　
 

3．検証の実施

　（1）「yamory」：「セキュリティ製品の有効性検証」
　（2）「AX-NV」：「実環境における試行検証」
 
　なお、検証は有識者会議にて定めた検証項目に従って、IPAが委託した株式会社デジタルハーツが検証方法の具体化
と検証実務を行いました。そして、得られた検証結果を有識者会議で検討しました。

4．試行結果

　（1）対象製品のベンダーに対して、製品の特長を検証者がヒアリングし、あらかじめ把握した上で、検証項目を
　　     設定しました。これにより、製品の特長を効果的に検証することができました。
 
　（2）上記により、検証そのものを効率的かつ的確に実施することができました。
 
　（3）専門の知見を持つ第三者が、検証者が設定した検証項目に対して、具体的な検証方法を策定しました。
           このような実施体制とすることで、検証の中立性への配慮が可能となりました。
 
　（4）製品の成熟度（例えば、PoC段階、β版、Ver.1.0、Ver.Nなど）に合わせ、各段階で重視すべき検証項目を選ぶ
　　　  ことが重要（あるいは有効）で、一律な評価は必ずしも適さないことが分かりました。
 
　（5）「実環境における試行検証」においては、試行導入を行うユーザーが自社のセキュリティ課題を理解している
             ことが求められ、それを ベンダーに的確に伝えることも重要であることがわかりました。これが十分でないと、
             適切な検証項目の策定に支障をきたす可能性が高いと考えられますが、こうした課題は一般的にユーザーに
             とって容易でないことも事実です。
 
　以上の知見・課題は、2020年度に実施予定の検証基盤の制度設計に反映します。
　検証結果の詳細は、以下をご覧ください。

　　・セキュリティ製品の有効性検証の検証結果について(1,685KB)
　　・実環境における試行検証の検証結果について(1,556KB)
 
＊上記の検証結果は2020度以降の実施に向けた課題抽出のためのものであり、IPAが個別の製品を推奨するものではありません。
 
　また、「実環境における試行検証」を通じて、セキュリティ製品の試行導入および導入実績の公表を検討しているユーザー
企業を対象に、試行導入ならびに導入実績公表の際に留意すべき点をまとめた「試行導入・導入実績公表の手引き」を作成
しました。

　 ・試行導入・導入実績公表の手引き(589KB)　

(*2)IPA　セキュリティ製品の有効性検証(試行)における対象製品の募集
https://www.ipa.go.jp/security/economics/shikoukensyobosyu2020