HOME情報セキュリティセキュリティエコノミクス2020年度 セキュリティ製品の有効性検証の試行について

本文を印刷する

情報セキュリティ

2020年度 セキュリティ製品の有効性検証の試行について

2021年4月26日
独立行政法人情報処理推進機構

 サイバーセキュリティ検証基盤(以後、検証基盤)とは、経済産業省の「産業サイバーセキュリティ研究会」WG3(サイバーセキュリティビジネス化)が構築を目指すとした「有効性確認を通じ日本発のサイバーセキュリティ製品・サービスのマーケット・イン促進に資する」ための仕組みです。セキュリティ産業の発展に資することを目的としています。

 これを受けIPAでは、2019年9月に検証基盤のあり方を検討する「サイバーセキュリティ検証基盤構築に向けた有識者会議(以下、有識者会議)」を設置し、2019年度事業として専門家による客観的な「セキュリティ製品の有効性検証」、利用者の「実環境における試行検証」を実施しました。

 2020年度はこの成果に基づき、二か年目の取り組みとして「検証基盤の構築」を実施、その上で公募・選定した2製品に対し「検証基盤の運用」を行い実効性や課題の洗い出しを行いました。そのほか、「我が国の状況にあった市場参入を支援する仕組みの検討」「試行導入・導入実績公表の手引きの改良」を実施しました。

 2020年度の事業概要は、以下のとおりです。

概要

1.検証基盤の構築

   以下について検討と試行を実施しました。
 
   ・ 公平性を確保しながら製品公募・対象製品の選定を実施する仕組み 
   ・ 効率的な有効性検証の仕組み等からなる検証の基盤構築 
   ・ 我が国の状況にあったセキュリティ製品の市場参入を支援する仕組み 
 
  詳細は、下記をご覧ください。
 ・サイバーセキュリティ検証基盤の構築に関する報告書」(1,553KB)

2.セキュリティ製品の重要分野の選定

2019年に策定した「重要分野マップ」の見直しを行い、有識者会議にて審議の結果、以下の三分野を決定
(上記報告書付録A参照)。
 
   ・ 「脅威の可視化」
   ・ 「脆弱性の可視化」
   ・ 「IT資産の認証/検証」

3.題材とする製品の公募・選定

2021年度以降の検証基盤改良に向けた課題抽出を目的に、製品の公募*1を実施。その後、有識者会議による審査の結果、
下記2製品を選定。

  (1)「WiSAS」:株式会社スプライン・ネットワーク(該当する重要分野:脅威の可視化、IT資産の認証/検証)
  (2)「GUARDIAX」:株式会社グレスアベイル(該当する重要分野:脅威の可視化、IT資産の認証/検証)

4.検証基盤の運用(検証実施)

構築した検証基盤を試行的に運用しました。より具体的には、有識者会議にて審議・決定した検証項目に従い、検証方法の具体化と検証実務を行いました。その上で、これらの妥当性等について有識者会議で審議したうえで、検証結果をまとめました。
 
 検証結果の詳細は、以下をご覧ください。
   ・「サイバーセキュリティ検証基盤の運用に関する報告書」(6,314KB)

*製品選定および検証の結果は、IPAが特定の製品を推奨する主旨ではありません。

5.検証基盤の試行的運用によって得た知見 

  (1)三つの役割から成る検証体制の有効性

   製品の市場参入促進に寄与する検証を現実的な期間・コストで実施することと、検証の公平性・精密さを追及することと
   は、高いバランスを取って進める必要があります。検証の試行を通じ、この実現には、(1)検証実務、(2)検証項目・
   方法・結果等の妥当性のチェック、(3)これら二つの機能の調整、の三つの役割を独立させる体制を組むことが有効で
   あることを確認しました。IPAは、中立な公的機関である特性を活かし、調整の役割(3)を担うことができます。

   (2)市場参入促進の仕組みへの期待

   セキュリティ製品の市場参入を促進する仕組みとして、現在期待されているのは、検証結果を市場に発信する場であること
   が分かりました。セキュリティ製品ベンダーへのインタビューにおいて、第三者による検証を受け、その結果を市場関係者
   に発信する場が提供されれば、知名度が高くない製品にとって、市場参入に向けた重要な機会となる、との期待が寄せられ
   ました。また製品ユーザーへのインタビューにおいて、検証結果が公表されれば製品導入時の検討に利用でき、通常は自社
   で行うPoC(Proof of Concept)の一部を代替し得る可能性がある、との意見がありました。

  (3)検証実務効率化の更なる検討

   本基盤が検証できる製品を増やすには、検証実務の効率化が必要です。それには、検証項目に関して独自に検証試験を行う
   ことに加え、対象製品のベンダーから適切な資料の提供を受けることが考えられます。提供資料としては、特許などが好適
   であると言えます。他方、ベンダーによる実験結果等の場合は、検証過程において実験条件の公平性等が十分確認できない
   ケースも考えられます。このようにベンダー資料の活用は常に有効とは限らないため、検証実務の効率化の手法には、
   更なる検討が必要です。

  (4)本基盤の適用条件の整理、ないし、適用条件の緩和

   競合の激しい分野の製品の検証を行う場合、検証項目が競合他社製品との性能等の比較になる可能性があります。
   この場合、公平な検証には、比較対象製品に関する検証実務も必要となります。その際、動作環境を統一できない、公平
   な検証条件を設定しにくい等のケースが予想されます。また、比較対象が増えればさらに検証実務の期間・コストが増大
   します。よって、上記のような本基盤による検証が難しいセキュリティ製品についてその特性を整理し、検証の対象
   分野選定の仕組みに反映する、ないしは、上記のような製品に対しても本基盤による検証がベンダーのメリットに繋がる
   ような検証方法を探ることが、課題として残りました。

以上の知見・課題は、2021年度に予定している本基盤の改良、運用に反映します。

 また、セキュリティ製品の試行導入および導入実績の公表を検討しているユーザー企業を対象に、試行導入ならびに導入実績公表の際に留意すべき点をまとめた手引きを改良し公開しました。 

   ・改良版「試行導入・導入実績公表の手引き」(642KB)

(*1)IPA セキュリティ製品の有効性検証における対象製品の募集
https://www.ipa.go.jp/security/economics/shikoukensyobosyu2020_2.html

問合せ先

独立行政法人情報処理推進機構 セキュリティセンター セキュリティ対策推進部 セキュリティ分析グループ
担当 :島田、大島
E-mail :