JBCC、「Attack Surface診断サービス」を発表–脆弱なIT資産を保護

今回は「JBCC、「Attack Surface診断サービス」を発表–脆弱なIT資産を保護」についてご紹介します。

関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。


 JBCCは1月23日、セキュリティ対策サービス「Attack Surface診断サービス」の提供を開始した。攻撃者目線で侵入経路となり得る領域を見つけ出し、それを一括で診断できるサービスで、グループ企業の子会社や海外拠点など、インターネット上に公開されている企業のIT資産を検出して、脆弱性の有無や危険性を定期的に診断できる。

 このサービスでは、パロアルトネットワークスのAttack Surface(攻撃対象領域)のマネジメントソリューション「Cortex Xpanse」を活用。管理ツールを用いて、ドメインやIPアドレスなどの情報を基にして実際に公開されているIT資産を検出するため、各部門で個別に構築したクラウド環境や、管理者が不明なまま最新の状態になっていないVPN装置など、情報システム部門がこれまで把握できていなかったIT資産も可視化して、セキュリティポリシーに従って診断できる。これを基に、組織全体での強固なセキュリティを実現できるとしている。

 JBCCを中核としたJBグループは、企業のデジタルトランスフォーメーション(DX)を支援するトータルITサービス「HARMONIZE(ハーモナイズ)」を提供する。今回のAttack Surface診断サービスは、同サービスのセキュリティソリューションの1つとして提供することになる。

 JBCC 執行役員 セキュリティサービス事業部長の桐原泰二氏は、「攻撃者は、外部に公開されているIT資産の脆弱性を突いて侵入することが多いと見られている。これを見つけ、その対策を提言することが、Attack Surface診断サービスの役割になる」と位置付ける。

 インシデント事例では、世界的な食肉事業者がブラジルなどの海外拠点のIT機器の脆弱性を突く攻撃者に侵入され、米国の拠点でランサムウェアによる被害が発生、システム停止を余儀なくされ、身代金を支払うという事件に発展した。また日本でも、大手製造業で関連子会社のVPN装置から侵入され、ランサムウェアに感染。製品供給が滞り、全ての工場の業務が停止するという事例が発生している。

 JBCC セキュリティサービス事業部 リスクアセスメント担当の萩原晋平氏は、「どちらも管理が行き届いていないところから侵入されている点が共通している。最近のセキュリティインシデントを見ると、こうしたケースが急増している」と指摘する。

 脆弱性が確認されている古いバージョンのウェブサーバーや、設定不備の状態で運用されているクラウド、管理されていない脆弱性のあるVPN装置、「シャドーIT」(IT部門などの管理下にないITサービスや機器など)によって意図せずに公開されたRemote Desktop Protocol(RDP)のほか、サプライチェーンでつながっているシステム機器、Server Message Block(SMB)やRemote Procedure Call(RPC)などのファイル共有に関連するサービス、Point-to-Point Tunneling Protocol(PPTP)やFile Transfer Protocol(FTP)など安全性が低いプロトコルを利用している機器、デジタル証明書の有効期限が切れている懸念があるサービスなどが、攻撃者の視点からは狙いやすいものになっているという。

 萩原氏は、「テレワークの普及などによってシステムへの出入口が増えているほか、クラウドサービスの普及により、データが分散化傾向にある中で、守る側は変化し複雑化するIT環境を常に監視し、安全な状況を保つことが求められている」と述べる。Garterでは、「Cyber Security Top Trend 2022」において早急に取り組むべきセキュリティテクノロジースタックとしてAttack Surfaceを“1丁目1番地”に掲げているとし、「デジタル庁でも『デジタル・ガバメント標準推進ガイドライン』で重要なセキュリティ対策の考え方としてAttack Surfaceを挙げ、設計時のチェックリストにも含めている。国内外でも最も注目を集めているセキュリティ対策の一つになる」(萩原氏)という。

 今回のサービスでは、診断ツールで検出された外部脅威やリスクについて優先付けをして分類し、評価を実施。企業の環境の調査やヒアリング内容に基づいて、JBCCのセキュリティスペシャリストが独自の診断結果レポートを作成して報告する。レポートにはIT資産の検出結果や、攻撃リスクの調査結果、考察を提供する。

 また、検出されたセキュリティリスクに対する対策案や、ロードマップを定期的な報告会で提言する。診断回数は年4回で、継続したセキュリティ診断を実施することにより、最新のセキュリティ情報を基に安全なシステム環境を実現するという。

 萩原氏は、「外部公開されているIT資産がいかに狙われやすいかという視点で、リスクや危険性を分析、評価する。また、こうしたセキュリティ対策は経営層を巻き込んでトップダウンで進める必要がある。リスク分析結果は、経営層にも理解をしてもらえるような形にまとめたエグゼクティブサマリーも用意し、リスク対策のための提言も行う」とした。

 今回のサービスでは、企業規模や利用目的に合わせて、3つのサービスプランを用意。いずれも月額サービスで提供する。従業員5000人未満の中堅および大手企業向けの「Plus Lightプラン」、大手および超大手企業向けの「Plus Standardプラン」、Cortex Xpanseのライセンスを除いた診断および運用サービスの「Attack Surface 診断サービス」をラインアップした。Cortex XpanseのライセンスなしのAttack Surface 診断サービスは月額55万円から提供する。今後1年間で50社へのサービス提供を目指す。

 さらに萩原氏は、「新サービスは目的ではなく手段であり、診断後が重要。ここにJBCCの価値がある。結果に基づいて対策を取るための実装力を生かし、セキュリティ対策を提案して、継続的なセキュリティ対策、運用を可能にしていく」とも述べた。

 デバイス、ネットワーク、ID、サーバー、データといった守る対象に合わせ、顧客の特性に合わせた各種サービスを用意する。「SMAC」と呼ばれるセキュリティ運用監視センター(SOC)では、認定ホワイトハッカー集団によって24時間の監視や1次対応を実施。顧客のシステムを理解したセキュリティスペシャリストがSMACと連携して、インシデントの解決に取り組む体制も敷いているという。

 JBCCのセキュリティサービス事業は、セキュリティの脅威を可視化する「見える化サービス」、オンプレミスに必要とされるゲートウェイ、エンドポイント、メールなどのセキュリティソリューションを全方位で提供する「セキュリティソリューション」、マルチクラウドおよびハイブリッドクラウド環境の構築実績から最適なクラウド運用を支援するための「クラウドセキュリティサービス」、各企業に最適なセキュリティ運用支援サービスを提供する「マネージドセキュリティサービス」で構成される。「見える化サービスを760社以上に提供し、マネージドセキュリティサービスでは約1000社に提供している。お客さまに最適なセキュリティ対策を診断から実装、運用まで網羅的にセキュリティサービスとして提供できる点がJBCCの強み」(桐原氏)とする。

 同社は、セキュリティサービスを超高速開発、クラウド、クラウドデータ連携と共に注力事業の一つに位置付けており、2021年度のセキュリティサービスの売上実績は57億9800万円だった。前中期経営計画がスタートした2017年度に比べて2.5倍の規模に成長している。2022年度上期も前年同期比8.7%増の29億8800万円となっており、着実に事業を拡大している。

COMMENTS


Recommended

TITLE
CATEGORY
DATE
サイオステクノロジーとElasticsearchが業務提携、「生成AI+RAG」を展開
IT関連
2024-07-13 21:49
大手企業の6割超が「現場部門によるデジタル化を実施」–ドリーム・アーツ調査
IT関連
2021-07-07 14:19
2022年のランサムウェア動向と脅威アクター
IT関連
2022-12-14 07:08
パナソニック、USB Type-C搭載の埋込型USBコンセント発売へ 8580円から
最近の注目ニュース
2021-04-21 09:31
法務管理クラウド「GVA manage」、「ドキュサイン」とAPI連携
IT関連
2023-03-26 13:11
バイデン大統領の民主主義サミットのコミットメント拡大にはパートナーシップが鍵となる
IT関連
2022-02-15 02:08
伊藤忠商事、紙帳票取引の業務改革にAI-OCRを活用–RPAと組み合わせて年間約5万時間を削減
IT関連
2022-06-02 09:50
川崎市と富士通、スマホアプリを活用し、脱炭素社会実現に向けた行動変容を促す実証を開始
IT関連
2022-11-03 07:38
子どもに仮想環境下での英語没入体験を提供する語学学習Novakidが38.2億円調達
EdTech
2021-08-04 04:58
LINEのデータ国内移転、“アルバム”は2024年に 「当初は計画になかった」
セキュリティ
2021-06-03 23:56
「東大IPC 1st Round」第4回の採択企業5社を発表、シード期から東大発スタートアップを支援
VC / エンジェル
2021-03-16 02:57
アップルが顧客満足度のPC部門で首位を維持、サムスンが肉薄–米調査
IT関連
2022-09-22 09:47
データセンターのグリーンコンピューティングを実現するITプラクティス–後編
IT関連
2023-09-05 22:05
JBS、eラーニング向け基盤にAvePointの学習管理システムを採用
IT関連
2024-08-01 02:20