ニュース
JBCC、“攻撃者の目で”セキュリティリスクを明らかにする「Attack Surface診断サービス」
2023年1月24日 06:15
JBCC株式会社は23日、セキュリティ被害を及ぼす攻撃者目線で、侵入経路となり得る領域“Attack Surface”を見つけ出す「Attack Surface診断サービス」の提供を始めた。
セキュリティ被害にあっているケースは、侵入経路はバラバラであっても、子会社や海外拠点など、情報システム部門の管理が行き届かないIT資産から容易に侵入していると分析。そこで新サービスでは、Attack Surface管理ツールを使い、実際のシステムの外部脅威やリスクを明らかにする。情報システムが管轄しているシステムに加え、シャドーITも含めたIT資産を対象とすることで、起こり得るセキュリティ被害を企業側に明らかにするという。
サービスプランは、従業員数やIT資産の数など企業規模に合わせ、「Attack Surface診断サービス Plus Lightプラン」「Attack Surface診断サービス Plus Standardプラン」と、診断に利用するツールをユーザー自身が用意する「Attack Surface診断サービス」の3つを提供し、月額サービスとして継続的にセキュリティ診断を実施することでユーザー企業が安全な状態を保持していけるように支援する。サービスの価格は企業規模によって異なるが、最も低価格なAttack Surface診断サービスで月額55万円からとなっている。
リスクあるIT資産を未然に検知するAttack Surface診断サービス
Attack Surface診断サービスでは、Palo Alto Networksの「Cortex Xpanse Assess」を活用し、発見・検出された外部脅威、リスクを優先付けして分類・分析・評価する。その結果に対し、エクゼクティブサマリーを含めたJBCCの独自診断レポートとして、IT資産検出結果+攻撃リスク調査結果・考察を作成し企業側に報告。また、検出されたリスクに対する対策案については、定期的な報告会にて提言する。
診断サービスでは、まず、インターネット上にあるIT資産を検出・分析し、リスクをIssue(問題)として評価する。ここでいうIT資産には、外部公開しているオンプレミスサーバーだけでなく、ファイアウォールやVPNといった境界ネットワーク機器、自己証明も含めたデジタル証明書、認可/未認可のIaaS上の公開サーバー、子会社/海外支社に点在するIT資産などが含まれる。
明らかになったIT資産に対し、脆弱性が確認されている低いバージョンのWebサーバー、管理コンソールに接続できるファイアウォールやVPN装置、PPTP/FTPなど安全性が低いプロトコルを利用している機器、SMBやRPCなどのファイル共有に関連するサービス、SNMPやRDPなど本来公開されるはずのないサービス、有効期限切れ等の懸念あるデジタル証明書などが、Issueとして挙がってくる。これらのIssueを危険度に応じて優先度「高・中・低」に分類し、カテゴリ/問題種別、検知した日、対象企業などを記録していく。
提供する3つのサービスプランは、いずれも年に4回の診断を行う予定で、Attack Surface診断サービス Plus Lightプランは、Palo Alto Networks社のCortex Xpanse Assessをサービス内で提供する。従業員数5000人未満の中堅企業・大手企業の利用を想定し、IT資産のデータ更新回数は、制限があり、診断回数の契約数によって最小4回、更新タイミングは実行時に手動で行う。定期的に診断を実施したい企業向けに、費用は一律でサービスを提供する。
Attack Surface診断サービス Plus Standardプランは、Palo Alto Networks社のCortex Xpanse Assessをサービス内で提供する。IT資産のデータ更新回数は、制限なしで、更新タイミングは日次で行う。従業員数の制限がないことから超大手企業での利用を想定し、日次など頻繁に脆弱性があるIT資産が公開されていないか、チェックしたい企業での利用を想定している。
Attack Surface診断サービスは、ユーザー自身がPalo Alto Networks社Cortex Xpanse ExpanderまたはAssessを購入し、サービス対象ライセンスの購入回数によってITデータ資産更新回数は異なってくる。診断・運用のみをアウトソーシングしたい企業ユーザー向けのサービスとなっている。
「サービスの特徴は、IPAや国が出しているチェックシートを使った机上の診断ではなく、攻撃目線でリアルなIT資産、リスク情報を可視化する点。当社のセキュリティのスペシャリストがツールを使い、実際のお客さま環境を調査する。また2つ目の特徴は、独自診断レポートの提供と定期的な報告を行う点。エグゼクティブサマリーとして、リスクの対応策の提言などをレポートにまとめ、年4回、定期的に実施していくことで、環境変化に強いいサービスになっている。3つ目は、紹介したように3つのサービスプランを用意している点。グローバルな超大手企業だけではなく、中堅企業も活用いただけるプランを用意させていただいている」(JBCC セキュリティサービス事業部 リスクアセスメント 萩原晋平氏)。
なおJBCCでは2021年4月から、トータルITサービス「HARMONIZE」を提供している。提供しているサービスのジャンルは、ビジネスモデル変革支援、業務変革ソリューション、プラットフォーム変革ソリューション、コラボレーションサービスの4種類で、セキュリティ関連はプラットフォーム変革ソリューションの1つとして提供している。
「当社のセキュリティ事業は年々拡大し、2017年度時点が23億6300万円だったのに対し、2021年度は57億9800万円と2.5倍に成長している。2022年度も好調で、上半期だけで29億8800万円と対前年同期比8.7%増となっている」(JBCC 執行役員セキュリティサービス事業部長の桐原泰二氏)。
JBCCのセキュリティ事業では、セキュリティソリューションやクラウドセキュリティなどと共に脅威の可視化を実施。対策の必要性を企業側が認識する支援を行ってきた。
Attack Surface診断サービスは、IT資産を含め脅威診断を行うことでリスクあるIT資産を未然に検知するものだが、脅威はインターネットからだけではなく、さまざまな視点・角度から現況を把握することが効果的であることや、リスクを可視化し、把握するだけでなく、結果や環境に基づき対策を採る実装力が重要ことを訴えていく。また、日々変化する環境下で単発では効果が低いことから、継続的に調査と改善する体制が必須であることも訴えていく。
「そのために、当社のほかのセキュリティマネージドサービスと組み合わせて利用し、セキュリティを強固にすることを訴えていきたい」(桐原氏)とした。
