受け身の対策では限界 “攻撃者視点”で企業ブランドを守るには？

フォーティネットはデジタルリスク保護製品「FortiRecon」の提供を開始した。拡大している攻撃対象領域を適切に管理し、なりすましといった自社ブランドの悪用を防ぐという。

[田渕聖人，ITmedia]

　フォーティネットジャパン（以下、フォーティネット）は2023年3月16日、「ブランド、重要なデジタル資産、データ等に対する外部脅威の最新状況とフォーティネットの最新デジタルリスク保護（DRP）サービスについて」と題する記者説明会を開催した。

　同説明会では、拡大する攻撃対象領域（アタックサーフェス）を保護する新製品であるデジタルリスク保護サービス（DRPS）「FortiRecon」の詳細な機能がデモを交えて解説された。

従来の対策では足りない　企業ブランドを悪用するサイバー攻撃の今

　説明会の冒頭、フォーティネットの山田 麻紀子氏（マーケティング本部　プロダクトマーケティングシニアマネージャー）はデジタルリスク保護が求められる背景について語った。

　昨今、企業のシステム環境は大きく変化している。SaaS（Software as a Service）利用が進んだ結果、外部デバイスから企業ネットワークにアクセスする機会が増加し、アタックサーフェスが拡大した。加えて、フィッシングや企業ブランドを悪用して金銭的な利益を得ようとする攻撃などサイバー脅威自体も手口が巧妙になってきている。

拡大し続ける外部脅威の状況（出典：フォーティネット提供資料）

　特にこうした企業ブランドを狙うサイバー攻撃には注意すべきだ。サイバー攻撃者はダークWebで個人情報だけでなく、事業者情報や財務情報、関係者、消費者情報といった国内企業の情報を売買している。フォーティネットによると、ダークWebにおける攻撃者たちのやりとりの中では、こうした情報を利用して「特定の企業の評判を落とす」といった記載も見受けられた。

　以下の図は企業ブランドを狙うサイバー攻撃の具体例だ。これを見ると、従来のセキュリティ管理の範囲から大きく外れており、いわゆる“受け身”の対策では対処しきれないことが分かる。ダークWebやSNSなどの情報を監視して、自社が危険にさらされているかどうかを分析するというステージに入ってきている。

企業ブランドを狙うサイバー攻撃。従来のセキュリティ対策だけではカバーするのは難しい（出典：フォーティネット提供資料）

　これに対処するため、CISO（最高情報セキュリティ責任者）には「組織のアタックサーフェスの管理」「デジタル攻撃対象をマッピングして外部から可視化」「セキュリティギャップとリスクを特定」することが求められているが、これら全てを実現するのはなかなかに困難だ。

フォーティネットの山田 麻紀子氏

　山田氏は「最近は、内部のデジタル資産に対するセキュリティリスクだけではなく、広がり続ける外部のデジタルリスクからも自社を守らなければなりません。そのためには企業ブランドの評判を保護する機能やインシデントに対して迅速にレスポンスする機能、ダークWebやフォーラムなどから自社に敵対的な行動をいち早く発見して早期に警告する機能などが必要です。しかし、これらを実現するには自社でホワイトハッカーを雇うなど高度な技術を持つリソースを確保することが求められます」と話す。

偽のWebサイトはテイクダウンも可能　FortiReconの3つの機能

　これらの課題を解消するのが、フォーティネットが2023年3月から提供するデジタルリスク保護サービス（DRPS）製品であるFortiReconだ。FortiReconは、企業が直面するサイバー脅威を“攻撃者視点で”外部から広範囲に可視化してリスク管理する。機能としては「External Attack Surface Management」「Brand Protection」「Adversary Centric Intelligence」の3つを単一のプラットフォームで提供する。順を追って見ていこう。

FortiReconの概要（出典：フォーティネット提供資料）

　1つ目は「External Attack Surface Management」だ。これは自社が持つデジタル資産を検出し、セキュリティ上問題のある脆弱（ぜいじゃく）性を発見する。さらに見つかった脆弱性に対する推奨アクションも提案する。

External Attack Surface Managementの概要（出典：フォーティネット提供資料）

　2つ目は「Brand Protection」だ。これは既に実行されているサイバー攻撃に着目した機能で、Webサイトの改ざんやクレデンシャル情報の流出、フィッシング、SNSにおける企業ブランドのなりすましといった自社に関連した脅威情報を収集する。自社のWebサイトを模した偽のWebサイトなどを検知した場合、フォーティネット側でこのWebサイトをテイクダウンする手続きを申請するといったサービスも含まれる。

（左）Brand Protectionの概要（右）テイクダウンサービスのイメージ（出典：フォーティネット提供資料）

　3つ目は「Adversary Centric Intelligence」だ。ダークWebやフォーラム、SNSなどを監視し、自社ブランドを狙った動きを未然に検知する。フォーティネットの伊藤憲治氏（マーケティング本部　プロダクトマーケティングスペシャリスト）は「ダークWebなどから情報を収集して『今何が起ころうとしているのか』などをレポートにして報告します」と話す。

Adversary Centric Intelligenceの概要（出典：フォーティネット提供資料）

　今回の説明会の最後では、フォーティネットの恩田和幸氏（システムエンジニア）が登壇し、FortiReconの3つの機能についてデモンストレーションを披露した。

（左）検出した偽ドメインを一覧で表示する（右）ダークWebの監視結果をレポートする（出典：フォーティネット提供資料）

　恩田氏は最後に「サイバー攻撃者に対抗するには、自社のデジタル資産を把握しつつ、サイバー攻撃者が『何をして』『どのようなことを考えているのか』を正確につかんでおく必要があります。孫子の『敵を知り己を知れば百戦危うからず』という言葉を実践することが大事になってくるでしょう」と締めくくった。