株式会社パロンゴが、米国 Picus Security 社とパートナーとしての契約を締結。

株式会社パロンゴ (本社: 東京都渋谷区、代表取締役社長: 近藤学、以下パロンゴ) は、米国 Picus Security 社 (本社: 米国カリフォルニア州、CEO: H. Alper Memis、以下 Picus Security) とパートナーとしての契約を締結し、パートナーとしてサービス展開を行います。

Picus Security はブリーチ＆アタックシミュレーション(Breach and Attack Simulation: 以降 BAS) ソリューションを提供する企業です。Picus Security の BAS ソリューションは、リアルな攻撃シナリオ、例えば流行しているランサムウェアに関連する「攻撃シナリオ」に沿って、お客様がお持ちの環境に対してそのランサムウェアによる攻撃シミュレーションを行います。
その結果として、お客様の環境でそのランサムウェアの攻撃が成功してしまったとしたらどうなるのか、投資しているセキュリティ対策は期待通りに動くのか、セキュリティ対策の壁を通り抜けてしまったとしたらどこかで止まる可能性はあるのか、といった「リスクの可視化」を行います。

サイバーセキュリティに場面において、「本番の舞台」に相当するものはなんでしょうか？
サイバーインシデントそのものの発生が本番の舞台に相当します。
誰もそんな舞台には上がりたくはないですが、それでもいつ来てしまうかわからない本番に備えて準備をしておかねばなりません。
そのために皆さんはサイバーセキュリティに対する種々の投資を行い、日々セキュリティ運用を進めているわけなのですが、ここで一つ疑問が出てきます。
それは「自分たちが実施しているセキュリティ施策や運用で果たして本当に攻撃が来たときに効果を発揮して防ぐことができるのだろうか？」という点です。
これをどうやって確認、検証すればいいのでしょう？
セキュリティ製品が動作していることは例えばテスト用のマルウェアを使って確認はできます。しかし、本当の攻撃、例えばランサムウェアに対してブロックできるかどうかはどうやって確認するのでしょうか？
あるいは例えば組織内のネットワークから組織外への通信はブロックしている設計になっているとします。
しかしその設計やブロック手法、設定が実際の攻撃手法に対して効果があるかどうかをどうやって確かめるのでしょうか？
また例えば経営陣からこんなことを聞かれたらどう答えますか？
「うちのセキュリティ対策は、今流行っている LockBit ってやつは防げるのかね？」
明快に答えるのは難しいですよね？
「多分大丈夫かと...」
「ちゃんとしたメーカの製品を使っているので...」
といった回答でお茶を濁すことになっていませんでしょうか？

BAS ソリューションはいわば「リハーサル」を行うサービスです。
実際の攻撃手法を実際にお客様の環境で試し、結果を可視化します。
結果が期待通り、設計通りであれば安心ですし、もし期待通りじゃなかったとしたら...可視化されたリスクに対して具体的な手当てに入ることができます。
あるいは、将来的なサイバーセキュリティのプランニングにも有効です。
今はまだ守り足りない部分がいくつかあったとして、どこから予算をかけて手当てをしていけばより効率的効果的か、といったところも可視化結果から分析することができます。

「リハーサル」ならペネトレーションテストも昔からあるよね？という話もあります。確かに以前からペネトレーションテストはあり、もちろん有効な手法です。
しかしながら、ペネトレーションテストと Picus Security のような BAS ソリューションは似て非なるものと言えます。
ペネトレーションテストはテスターのスキルや専門性にも依存しますし、継続的に、あるいは任意のタイミングでテストを実施することは困難です。一般的には例えば年に 1 回や 2 回といったタイミングでの実施になり、あくまでもその時点での結果と考察しか得られません。
またテストに使われる手法もテスターが設計実装した手法です。
「今流行っている LockBit でテストしてくれ」
というわけにはいきません。
あるいは例えば「log4shell という攻撃がいきなり大流行りし始めた。我が社のセキュリティ対応でどうなるんだろうか？」といった急なチェックなどにはもちろん対応できませんし、テスト対象を絞り込む必要もありますので包括的なテストは時間やコストといった観点からもハードルが高くなります。

Picus Security のような BAS ソリューションは色々なシナリオ、色々な状況であらゆる箇所を連続的にも独立的にもテストすることが可能です。
一連の攻撃シミュレートのみならず、例えば社内用 PC に仮に何らかの形でランサムウェアが入ってきたらどうなるのか？といった個々の状況をシミュレートし、チェックすることが可能です。
またショット診断のようなテスト、アセスメントのみならず、任意のタイミングでのテストも可能であり、突発的な事象、例えば突如現れたゼロデイ攻撃への自組織の耐性をアセスメントするといった用途にも適応します。

Picus SecurityのCEO兼共同設立者であるアルパー・H・アルパー・メミス氏は、今回の提携について次のように述べています。
「サイバーリスクへの備えの度合いやリスクレベルを把握することは、すべてのセキュリティチームが直面する重要な課題です。 攻撃シミュレーションは、攻撃的なセキュリティの専門知識を持たない実務者でも、積極的にリスクを測定し、防御が準備されているという安心感を得ることを可能にします。
パロンゴ社と提携し、より多くの企業に、一貫したセキュリティ検証アプローチによるBASのメリットを紹介できることを嬉しく思います。」

自組織で行っているセキュリティ対策と現実に発生している攻撃とのギャップをチェックし、リスクを評価し、対策のアップデートにつなげていくために、Picus Security による BAS ソリューションをぜひご活用ください。

Picus Security について
Picus Securityは、セキュリティチームが一貫して正確なセキュリティ体制を検証できるよう支援します。当社のSecurity Validation Platformは、現実世界の脅威をシミュレートすることで、セキュリティ対策の有効性を評価し、重要な資産へのハイリスクな攻撃経路を特定し、脅威の予防と検知能力を最適化します。侵害・攻撃シミュレーションのパイオニアとして、当社はお客様が脅威を中心としたプロアクティブな行動を取るために必要な実用的な洞察を提供することを専門としています。
PicusはGartner® Peer Insights™ Customers' Choice for 2024のBASツール部門に選ばれています。(注1)
また、Frost&Sullivan社からもリーダーとして評価されています。(注2)
(注1)Gartner, Voice of the Customer for Breach and Attack Simulation Tools, Peer Contributors, 30 January 2024.
(注2) Frost and Sullivan, 2022 Frost Radar™ report for the Global Breach and Attack Simulation Market

パロンゴについて
パロンゴは、電気やガス、インターネット回線といったインフラストラクチャと同じようにセキュリティが社会に根付くよう「インフラストラクチャとしてのセキュリティオペレーションの実現」をテーマとし、効率的かつ効果的なセキュリティプロダクトのご提供やセキュリティ運用支援を通して、より充実したセキュリティオペレーションをお客様に実現していただくためのお手伝いをしてまいります。

[本件に関するお問合せ先]
株式会社パロンゴ Email: info@parongo.com 　Web: https://www.parongo.com/