台湾発OT向けセキュリティデバイスにペネトレーションテストを実施。「脆弱性リサーチによるCVE獲得等で実績のあるセキュリティエンジニアとの、スピード感のあるコミュニケーションが決め手に」
BlackBear Industrial Networking Security Ltd.(以下、BlackBear社) はセキュリティプロダクトによってネットワークとインフラストラクチャーを堅牢にすることを目的とした台湾発スタートアップ企業です。
BlackBear社は数十年にわたる事業展開の中で蓄積してきたネットワークの専門知識を活用して、顧客のシステムを保護する軍事レベルの産業用セキュリティデバイスを提供しています。
BlackBear社の「BlackBear’s Intelligent Gateway」
BlackBear社は「産業のIT化はこれまでにないイノベーションの機会を提供する一方、機器がオンライン接続すると同時にセキュリティが脅かされる機会も発生する」という思想に基づき、データの単一方向伝達を可能にするセキュリティデバイス「BlackBear’s Intelligent Gateway」を提供しています。
「BlackBear’s Intelligent Gateway(以下、BIG)」はダウンタイムを避けつつ、異なる機器同士やサブシステム、クラウドに至るまでの間での相互通信を可能としながら重要な機器を保護する機能を提供します。
BlackBear’s Intelligent Gatewayの詳細はこちら。 https://blackbear-ics.com/solutions/
今回Flatt Securityは、BlackBear社のBIGシリーズの一つである「BIG9000」を対象にペネトレーションテストを実施しました。
ペネトレーションテストを利用した経緯と感想をBlackBear社Vice Presidentの許博智さん、特別アシスタントの劉牧菁さん、BlackBear社のパートナー企業であるATOP Technologies, Inc. (*)東南アジア・ラテンアメリカ担当セールスディレクターの黎秋陽さん、プロジェクトマネージャーの梁志顯さんにお伺いしました。
(*) BlackBear Industrial Networking SecurityとATOP Technologiesの両社は、産業のデジタル化を目指すBlackBear TechHiveグループに属しています。
以前利用したセキュリティベンダーがFlatt Securityを勧めてくれた
BlackBear社 Vice Presidentの許さん
ーーFlatt Securityを知っていただいた経緯を教えてください。
許さん:日本でビジネスを展開するにあたり、弊社が提供している「BIG9000」を対象にペネトレーションテストを依頼できる日本のセキュリティベンダーさんを探していたのですが、そもそも日本のベンダーさんをほとんど知りませんでした。
そこで、以前タイで利用したことのあるベンダーの担当者に日本のベンダーさんでお勧めのところはないかと聞いてみたところ、Flatt Securityさんのことを高い技術力を持ったベンダーだと推薦してくれたので、まず最初にFlatt Securityさんに問い合わせました。
ーー今回はなぜセキュリティ診断が必要になったのでしょうか。
許さん:日本でビジネスを展開するためには、私たちの製品が安全で信頼できるものだと顧客に証明しなければいけません。証明には二つの方法があると思いますが、一つはIEC62443(*)のような国際規格の取得、もう一つは第三者のセキュリティベンダーによる製品の診断です。私どもは、まずセキュリティ診断を外部のベンダーさんに依頼することにし、現在はIEC規格の取得も進めています。
(*)IEC規格:電気製品の規格やその検査方法・測定方法などに関する国際的な標準を定める団体である国際電気標準会議(IEC)が作成・発行する規格。IEC規格は、品質管理とリスクマネジメントに不可欠なもので、製造者に標準化された品質・性能での製造を可能にします。
英語でもスピード感のあるコミュニケーションと、CTFや脆弱性リサーチで著名なセキュリティエンジニアの存在が決め手に
BlackBear社 特別アシスタントの劉さん
ーー最終的にFlatt Securityを選んでいただいた決め手を教えてください。
許さん:スピード感のあるコミュニケーションが決め手のひとつです。実はFlatt Securityさんの他にも日本のベンダーさんに問い合わせはしていたのですが、どちらも対応が早くはありませんでした。
Flatt Securityさんは英語での問い合わせだったにも関わらず早くご連絡を頂けたので、実際に診断が始まった後にもスムーズなやり取りができそうだという期待感がありました。一方、日本の大手のベンダーさんの対応が遅かったのはやはり言語の問題でしょうか。
劉さん:実は私がベンダーのエンジニアさんと連絡を取っていたのですが、エンジニアの方と技術的な内容について英語でやり取りすることは難しかったです。その点Flatt Securityのエンジニアの方達は英語で問題なくコミュニケーションを取っていただけたので良かったです。
また、CTF(*)での受賞実績のあるエンジニアや、CVE(*)に登録されるような脆弱性を報告しているセキュリティエンジニアの方がいらっしゃるのも決め手になりました。これらの実績から御社は技術力に関して信頼できるベンダーさんだと考えていましたし、実際に報告書を頂いた時にも技術力の高さを感じました。
(*)CTFとは、サイバーセキュリティの技術を競うコンテストのことです。弊社エンジニアの志賀(@Ga_ryo_)なども参加しています。詳細はこちら。
(*)CVEとは、Common Vulnabilities and Exposuresの略称で共通脆弱性識別子を意味します。情報セキュリティにおける脆弱性について固有の番号を付与してリスト化したものです。弊社エンジニアが発見した脆弱性についての詳細はこちら。
再診断でも脆弱性を発見しようと努めてくれたのは初めての体験だった
右から、ATOP Technologies, Inc. 東南アジア・ラテンアメリカ担当セールスディレクターの黎さん、プロジェクトマネージャーの梁さん、
BlackBear社Vice Presidentの許さん
ーー実際に診断を受けた感想を教えてください。
許さん:先ほども申し上げましたが、私たち全員が日本語を上手に話せるわけではないので英語で難なくコミュニケーションを取ることができたのは良かったです。Slackの共有チャンネルを作っていただけたので、双方のエンジニアが効率的にコミュニケーションを取れたのも嬉しかったです。
また、他の東南アジアのベンダーよりは高価ではあるものの、Flatt Securityさんは他の日本のベンダーさんと比較してもリーズナブルな価格で診断を実施してくれました。
梁さん:実は「Flatt Securityさんには他のベンダーさんにはない観点での指摘もいただけたよね」という会話が社内でありました。その点でも我々はFlatt Securityさんの技術力に驚かされましたし、診断は値段の価値に見合うものだったと思っています。
ーーペネトレーションテストに限らず、今後Flatt Securityに期待することがあれば教えてください。
許さん:「BIG9000」がアップデートされ新しい機能が追加されたときには、またテストをお願いしたいです。
またFlatt Securityさんにはコンサルティングサービスもお願いしたいですね。まだコンサルティングは行っていないようですが、近い将来実現された暁にはぜひ利用させていただきたいと思います。
あとは、Flatt Securityさん経由で日本のデータダイオードを必要としているお客様に弊社のことを知っていただけたら嬉しいですね。
後列:BlackBear Industrial Networking SecurityとATOP Technologiesのメンバー
前列:Flatt Securityのメンバー
この記事は、Flatt Security セキュリティ診断事例インタビュー から転載されています。
