HOME情報セキュリティセキュリティエコノミクスセキュリティ製品の有効性検証の試行について

本文を印刷する

情報セキュリティ

セキュリティ製品の有効性検証の試行について

2020年4月10日
独立行政法人情報処理推進機構

 経済産業省は2017年12月に「産業サイバーセキュリティ研究会」を設置し、ワーキンググループ3(サイバーセキュリティビジネス化)の活動において、有効性確認を通じ日本発のサイバーセキュリティ製品・サービスのマーケット・イン促進に資するサイバーセキュリティ検証基盤(以下、検証基盤)の構築を目指す、としました。検証基盤とは、日本発のセキュリティ製品の有効性を確認するものです。

 この事業について、経済産業省の委託を請け、IPAでは、検証基盤のあり方を検討する「サイバーセキュリティ検証基盤構築に向けた有識者会議*1(以下、有識者会議)」を2019年9月に設置しました。
    また、経済産業省の計画によれば、その具体的な検証は、以下の2種類を実施することとしていました。
 
   (1)専門家による客観的な「セキュリティ製品の有効性検証」
   (2)利用者の「実環境における試行検証」
 
   そこで有識者会議では、この計画に基づいた検証体制や検証方法等の実施案を検討しました。さらにこの実施案の実効性や課題を明らかにするため、検証を試行しました。
 
試行の結果は以下の通りです。

(*1)IPA サイバーセキュリティ検証基盤構築に向けた有識者会議
https://www.ipa.go.jp/security/economics/kensyokiban2019.html

試行の概要

1.重要分野の選定
 ・「脅威の可視化」
 ・「脆弱性の可視化」
 ・「IT資産管理」
 
  重要分野の議論を整理した結果を以下に示します。
 ・2019年度版セキュリティ製品・サービス重要分野マップ(498KB)

2.製品公募*2の実施と選定
  2019年1月14日~20日に実施し、有識者会議による審査の結果、下記2製品を選定しました。
 
 (1)「yamory」(読み仮名:ヤモリ):ビジョナル・インキュベーション株式会社
 (2)「AX-Network-Visualization(以下、AX-NV)」(読み仮名:エーエックスエヌブイ)
                        :アラクサラネットワークス株式会社 
 
3.検証の実施
 (1)「yamory」:「セキュリティ製品の有効性検証」
 (2)「AX-NV」:「実環境における試行検証」
 
 なお、検証は有識者会議にて定めた検証項目に従って、IPAが委託した株式会社デジタルハーツが検証方法の具体化
と検証実務を行いました。そして、得られた検証結果を有識者会議で検討しました。

4.試行結果
 (1)対象製品のベンダーに対して、製品の特長を検証者がヒアリングし、あらかじめ把握した上で、検証項目を
       設定しました。これにより、製品の特長を効果的に検証することができました。
 
 (2)上記により、検証そのものを効率的かつ的確に実施することができました。
 
 (3)専門の知見を持つ第三者が、検証者が設定した検証項目に対して、具体的な検証方法を策定しました。
           このような実施体制とすることで、検証の中立性への配慮が可能となりました。
 
 (4)製品の成熟度(例えば、PoC段階、β版、Ver.1.0、Ver.Nなど)に合わせ、各段階で重視すべき検証項目を選ぶ
     ことが重要(あるいは有効)で、一律な評価は必ずしも適さないことが分かりました。
 
 (5)「実環境における試行検証」においては、試行導入を行うユーザーが自社のセキュリティ課題を理解している
             ことが求められ、それを ベンダーに的確に伝えることも重要であることがわかりました。これが十分でないと、
             適切な検証項目の策定に支障をきたす可能性が高いと考えられますが、こうした課題は一般的にユーザーに
             とって容易でないことも事実です。
 
 以上の知見・課題は、2020年度に実施予定の検証基盤の制度設計に反映します。
 検証結果の詳細は、以下をご覧ください。

  ・セキュリティ製品の有効性検証の検証結果について(1,685KB)
  ・実環境における試行検証の検証結果について(1,556KB)
 
*上記の検証結果は2020度以降の実施に向けた課題抽出のためのものであり、IPAが個別の製品を推奨するものではありません。
 
 また、「実環境における試行検証」を通じて、セキュリティ製品の試行導入および導入実績の公表を検討しているユーザー
企業を対象に、試行導入ならびに導入実績公表の際に留意すべき点をまとめた「試行導入・導入実績公表の手引き」を作成
しました。

  ・試行導入・導入実績公表の手引き(589KB) 

(*2)IPA セキュリティ製品の有効性検証(試行)における対象製品の募集
https://www.ipa.go.jp/security/economics/shikoukensyobosyu2020

問合せ先

独立行政法人情報処理推進機構 セキュリティセンター セキュリティ対策推進部 セキュリティ分析グループ
担当 :増田、島田
TEL : 03-5978-7530
E-mail :

更新履歴

 2020年4月10日   公開しました