IBM、セキュリティ専門家とエシカルハッカーで構成するセキュリティテストグループ「X-Force Red」を結成：オンデマンド型の脆弱性発見サービスを提供

　米IBMセキュリティーは2016年8月2日、セキュリティの専門家とエシカルハッカー（高い倫理観と高度な技術を持つハッカー）で構成するセキュリティテストグループ「X-Force Red」を結成したと発表した。米国や英国、オーストラリア、日本など、世界数十カ所を拠点とした数百人の専門家を抱えるグループで、侵入テストの専門家である同社のチャールズ・ヘンダーソン氏が率いる。

X-Force Redを率いるチャールズ・ヘンダーソン氏

　X-Force Redに所属する専門家は、これまで世界の大手企業や政府機関に対して、侵入テストやエシカルハッキング、ソーシャルエンジニアリング、物理的なセキュリティテストなどを実施してきた。医療、金融サービス、小売、製造、公共など複数の分野にわたって専門知識を提供する。

　IBMによると、企業資産に対する攻撃は右肩上がりで増えており、2015年のセキュリティインシデントは、前年比で64％増加したという。X-Force Redの目的は、企業に、自社システムのネットワーク、ハードウェア、アプリケーションに脆弱（ぜいじゃく）性があることを、サイバー犯罪者よりも早く発見できるよう支援すること。同時に、日常の業務プロセスや作業手順に潜む人為的な脆弱性についても精査する。

　アプリケーション分野では、Webアプリケーションやモバイルアプリケーションからメインフレーム、ミドルウェアも含めて、ソースコードレビューや侵入テストを行うことで脆弱性を調査する。ハードウェア分野では、サーバやネットワーク機器、クライアントの他に、IoT（Internet of Things）システムやウェアラブル端末、PoS（Point of Sales）システム、セルフレジ端末、ATM（現金自動預け払い機）システム、自動車システムなども対象とする。

　こうしたセキュリティサービスを企業向けに、「個別プロジェクト」「サブスクリプションベーステスト」「マネージドテストプログラム」という3つのモデルで提供する。サブスクリプションモデルでは、月額課金制で特定のテストに限定せずにサービスを受けられる。マネージドテストプログラムは、セキュリティ専門人員のない組織に向けて、X-Force Redへそれらの専門業務を依頼できるモデルとなる。

　IBMはX-Force Redのサービスにより「企業はセキュリティコストを柔軟に制御できるだけでなく、アプリケーション／ネットワーク展開のライフサイクル全体にわたる脆弱性調査と管理を含めた、オンデマンド型の強力なテスト体制を整えることができる」と述べている。