JBCC、「Attack Surface診断サービス」を発表–脆弱なIT資産を保護
今回は「JBCC、「Attack Surface診断サービス」を発表–脆弱なIT資産を保護」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
JBCCは1月23日、セキュリティ対策サービス「Attack Surface診断サービス」の提供を開始した。攻撃者目線で侵入経路となり得る領域を見つけ出し、それを一括で診断できるサービスで、グループ企業の子会社や海外拠点など、インターネット上に公開されている企業のIT資産を検出して、脆弱性の有無や危険性を定期的に診断できる。
このサービスでは、パロアルトネットワークスのAttack Surface(攻撃対象領域)のマネジメントソリューション「Cortex Xpanse」を活用。管理ツールを用いて、ドメインやIPアドレスなどの情報を基にして実際に公開されているIT資産を検出するため、各部門で個別に構築したクラウド環境や、管理者が不明なまま最新の状態になっていないVPN装置など、情報システム部門がこれまで把握できていなかったIT資産も可視化して、セキュリティポリシーに従って診断できる。これを基に、組織全体での強固なセキュリティを実現できるとしている。
JBCCを中核としたJBグループは、企業のデジタルトランスフォーメーション(DX)を支援するトータルITサービス「HARMONIZE(ハーモナイズ)」を提供する。今回のAttack Surface診断サービスは、同サービスのセキュリティソリューションの1つとして提供することになる。
JBCC 執行役員 セキュリティサービス事業部長の桐原泰二氏は、「攻撃者は、外部に公開されているIT資産の脆弱性を突いて侵入することが多いと見られている。これを見つけ、その対策を提言することが、Attack Surface診断サービスの役割になる」と位置付ける。
インシデント事例では、世界的な食肉事業者がブラジルなどの海外拠点のIT機器の脆弱性を突く攻撃者に侵入され、米国の拠点でランサムウェアによる被害が発生、システム停止を余儀なくされ、身代金を支払うという事件に発展した。また日本でも、大手製造業で関連子会社のVPN装置から侵入され、ランサムウェアに感染。製品供給が滞り、全ての工場の業務が停止するという事例が発生している。
JBCC セキュリティサービス事業部 リスクアセスメント担当の萩原晋平氏は、「どちらも管理が行き届いていないところから侵入されている点が共通している。最近のセキュリティインシデントを見ると、こうしたケースが急増している」と指摘する。
脆弱性が確認されている古いバージョンのウェブサーバーや、設定不備の状態で運用されているクラウド、管理されていない脆弱性のあるVPN装置、「シャドーIT」(IT部門などの管理下にないITサービスや機器など)によって意図せずに公開されたRemote Desktop Protocol(RDP)のほか、サプライチェーンでつながっているシステム機器、Server Message Block(SMB)やRemote Procedure Call(RPC)などのファイル共有に関連するサービス、Point-to-Point Tunneling Protocol(PPTP)やFile Transfer Protocol(FTP)など安全性が低いプロトコルを利用している機器、デジタル証明書の有効期限が切れている懸念があるサービスなどが、攻撃者の視点からは狙いやすいものになっているという。
萩原氏は、「テレワークの普及などによってシステムへの出入口が増えているほか、クラウドサービスの普及により、データが分散化傾向にある中で、守る側は変化し複雑化するIT環境を常に監視し、安全な状況を保つことが求められている」と述べる。Garterでは、「Cyber Security Top Trend 2022」において早急に取り組むべきセキュリティテクノロジースタックとしてAttack Surfaceを“1丁目1番地”に掲げているとし、「デジタル庁でも『デジタル・ガバメント標準推進ガイドライン』で重要なセキュリティ対策の考え方としてAttack Surfaceを挙げ、設計時のチェックリストにも含めている。国内外でも最も注目を集めているセキュリティ対策の一つになる」(萩原氏)という。
今回のサービスでは、診断ツールで検出された外部脅威やリスクについて優先付けをして分類し、評価を実施。企業の環境の調査やヒアリング内容に基づいて、JBCCのセキュリティスペシャリストが独自の診断結果レポートを作成して報告する。レポートにはIT資産の検出結果や、攻撃リスクの調査結果、考察を提供する。
また、検出されたセキュリティリスクに対する対策案や、ロードマップを定期的な報告会で提言する。診断回数は年4回で、継続したセキュリティ診断を実施することにより、最新のセキュリティ情報を基に安全なシステム環境を実現するという。
萩原氏は、「外部公開されているIT資産がいかに狙われやすいかという視点で、リスクや危険性を分析、評価する。また、こうしたセキュリティ対策は経営層を巻き込んでトップダウンで進める必要がある。リスク分析結果は、経営層にも理解をしてもらえるような形にまとめたエグゼクティブサマリーも用意し、リスク対策のための提言も行う」とした。
今回のサービスでは、企業規模や利用目的に合わせて、3つのサービスプランを用意。いずれも月額サービスで提供する。従業員5000人未満の中堅および大手企業向けの「Plus Lightプラン」、大手および超大手企業向けの「Plus Standardプラン」、Cortex Xpanseのライセンスを除いた診断および運用サービスの「Attack Surface 診断サービス」をラインアップした。Cortex XpanseのライセンスなしのAttack Surface 診断サービスは月額55万円から提供する。今後1年間で50社へのサービス提供を目指す。
さらに萩原氏は、「新サービスは目的ではなく手段であり、診断後が重要。ここにJBCCの価値がある。結果に基づいて対策を取るための実装力を生かし、セキュリティ対策を提案して、継続的なセキュリティ対策、運用を可能にしていく」とも述べた。
デバイス、ネットワーク、ID、サーバー、データといった守る対象に合わせ、顧客の特性に合わせた各種サービスを用意する。「SMAC」と呼ばれるセキュリティ運用監視センター(SOC)では、認定ホワイトハッカー集団によって24時間の監視や1次対応を実施。顧客のシステムを理解したセキュリティスペシャリストがSMACと連携して、インシデントの解決に取り組む体制も敷いているという。
JBCCのセキュリティサービス事業は、セキュリティの脅威を可視化する「見える化サービス」、オンプレミスに必要とされるゲートウェイ、エンドポイント、メールなどのセキュリティソリューションを全方位で提供する「セキュリティソリューション」、マルチクラウドおよびハイブリッドクラウド環境の構築実績から最適なクラウド運用を支援するための「クラウドセキュリティサービス」、各企業に最適なセキュリティ運用支援サービスを提供する「マネージドセキュリティサービス」で構成される。「見える化サービスを760社以上に提供し、マネージドセキュリティサービスでは約1000社に提供している。お客さまに最適なセキュリティ対策を診断から実装、運用まで網羅的にセキュリティサービスとして提供できる点がJBCCの強み」(桐原氏)とする。
同社は、セキュリティサービスを超高速開発、クラウド、クラウドデータ連携と共に注力事業の一つに位置付けており、2021年度のセキュリティサービスの売上実績は57億9800万円だった。前中期経営計画がスタートした2017年度に比べて2.5倍の規模に成長している。2022年度上期も前年同期比8.7%増の29億8800万円となっており、着実に事業を拡大している。