KELAはこのほど、同社が提供しているセキュリティスコアリングソリューション「SLING」に関する説明会を開催した。

「SLING」は攻撃者目線で攻撃可能性を数値化することをコンセプトとしており、アタックサーフェス管理(ASM)の領域とダークウェブに特化した脅威インテリジェンス(CTI)を複合的に組み合わせて、サイバーセキュリティのスコアリングを行う。セキュリティに詳しくない経営層でもわかりやすい視点でレポートを作成する。

サプライチェーン攻撃を招く侵害されたアカウント

初めに、同社のグループ企業であるSLINGのCEO兼Cofounderを務めるウリ・コーヘン氏がサプライチェーン攻撃の最新動向について説明した。同氏は、「最近は、サプライチェーンが長くかつ複雑になっており、数多くの企業が含まれている。サイバーの観点からすると、ITを担っている企業と顧客が注目されるが、ビジネスの継続性を踏まえると、全体をモニタリングすることが必要」と述べた。

  • SLING CEO兼Cofounder ウリ・コーヘン氏

コーヘン氏は、「ハッカーが狙ってくるのはサプライチェーンの中の企業の間であり、ハッカーがいったんサプライチェーンに合法的に入り込むと、不正な行為が可能になる」と指摘した。

ここで同社が注目しているのが、攻撃のポイントとなる侵害されたアカウントだという。窃取した情報にクレディンシャル情報が含まれていたら、それを悪用してネットワークに侵入できる。

コーヘン氏は、最新のサプライチェーンにまつわるインシデントとして、データクラウド「Snowflake」への不正アクセスを挙げた、Snowflakeは認めていないが、悪名高い攻撃者がクレディンシャルを買ってSnowflakeに不正アクセスを行ったことはわかっており、その結果、165の企業がその影響を受けたという。

被害を受けた企業は多要素認証(MFA)を使ってなかった点を突かれ、Snowflakeはアップデートを発表し、MFAを使うよう、リコメンデーションを出しているとのことだ。

コーヘン氏は、サプライチェーンのリスクについて、「リスクスコアが急激に下がったとき、注意が必要」と指摘した。サプライチェーンのリスクを回避するため、モニタリングにサプライチェーンとアセットの可視性を担保すること、サプライチェーンの脅威を特定する上でリカバリの手順を確立することが重要だという。さらに、リスクスコアを参考に、サードパーティーを変更するなどして、リスクを下げるといったことが考えられる。

SLINGの強みはダークウェブのモニタリング

続いて、SLING リージョナルセールスマネージャー 中島彬氏が、SLIN事業について説明した。同氏は、サードパーティーおよびサプライチェーンのセキュリティ態勢を評価する際は、国内外でサードパーティーへの侵害が自社に影響する事案への注目が高まっており、侵害の初期経路としてダークウェブに流出した認証情報の悪用が確認されていることを踏まえることが必要と指摘した。

  • KELA SLING リージョナルセールスマネージャー 中島彬氏

評価においてはレーティングが有用だが、中島氏は「企業には予算があるので、第一歩を踏み出すことが重要。パートナーと共に届けることもできる」と述べた。

中島氏は、SLINGの特徴として、金銭目的の攻撃者の行動原理・行動範囲に着目しており、攻撃者視点を持っている点を挙げた。経済産業省「ASM(Attack Surface Management) 導入ガイダンス2.1ASMの定義」にも、「ASMは攻撃者視点を持つという特徴がある」と書かれている。

同社は攻撃者に選ばれない対策を打てるよう、スコアリングを行っている。具体的には、ユーザーのドメインを調べ、意図していないWebページの公開などを突き止める。

また、中島氏は競合に対するアドバンテージとして、ダークウェブのモニタリングを挙げた。同社は違法マーケット、サイバー犯罪コミュニティ、違法マーケットといったダークウェブのインテリジェンスまで含めてリスクを判定している。

日本語でリスク評価レポートを提供する「SecureCheck」

説明会には、「SLING SCORE」 を活用したサービス「SecureCheck」を提供しているビヨンドブルーの代表取締役 木村光秀氏、同サービスを利用しているKACHIAL Mooovin事業部 ディレクター 藤大貴氏も登壇した。

「SecureCheck」は、ドメイン情報で診断を実施し、リスク評価レポートをPDF形式で納品する。レポートは日本語に対応している。木村氏は、同サービスについて、「中小企業をターゲットにしており、ポイントに絞ってレポートを提供している」と説明した。

  • ビヨンドブルー 代表取締役 木村光秀氏

リスク評価レポートは、影響のある情報について、対策が必要な項目をピックアップしている。具体的には、以下の10項目について、リスクの概要、考えられる被害、対策などを紹介している。

  • 「SecureCheck」のリスク評価レポートの対象の10項目

リスクスコアリングでセキュリティ対策継続の意識が醸成

そして、カチアルは不動産関連事業を営む企業だ。藤氏は、外国人向け賃貸物件プラットフォーム「Mooovin」の運営に携わっている。「Mooovin」は外国人が入居可能な物件のみ掲載し、オンラインで賃貸する上で必要なすべての手続きが完結する。

  • KACHIAL Mooovin事業部 ディレクター 藤大貴氏

藤氏は、「不動産はデジタル化が遅れている業界の一つ。新しい取り組みを行う中でデジタル化が必要である一方、セキュリティが避けられない対策となる」と述べた。

「Mooovin」の改修のタイミングを迎えたこと、ユーザーが増加していること、攻撃を受けている挙動を確認したことが重なったことで、「SecureCheck」を利用したという。

調査の結果、同社のスコアは高く、つまりリスクが低いことが明らかになったが、それでよしとするのではなく、「継続してセキュリティレベルを保持することが重要」と、藤氏は述べた。

さらに藤氏は、「SecureCheck」を利用したメリットについて、「事業部内で共通言語ができたことがよかったし、セキュリティ対策を継続しようという意識を醸成できた。これで、ユーザーに安心と信頼を届けることできる」と語っていた。