サプライチェーンリスクに備えよ 脅威監視のプロ企業が語る推奨策
ランサムウェアの脅威が激化する今、サプライチェーンセキュリティ強化は企業の喫緊の課題だ自社だけでなく関連企業を含めたサプライチェーン全体のセキュリティレベルを底上げする有効策はあるか。
この記事は会員限定です。会員登録すると全てご覧いただけます。
脅威インテリジェンスを提供するKELAのグループ企業、SLINGは2024年7月17日、同社の研究や調査を基にした最新レポートを発表した。
サプライチェーンを狙うサイバー攻撃に対して、適切に対処するための評価手法として、セキュリティスコアリングを活用するという内容で、同社のウリ・コーヘン氏(CEO&Cofounder)が講演した。
高まるサプライチェーンリスク 被害に遭う企業には共通点がある?
SLINGのウリ・コーヘン氏コーヘン氏は、昨今の攻撃者がサイバーやITの“つながり”部分に注目しているとし、「普段は意識しない法務・財務サービスや人事部門、MSSPなどアウトソーシングしている関連企業などを含め、継続的にモニタリングする必要がある」と指摘する。
「いずれかの部分に弱さがあり、一度でも侵入を許すことで攻撃者は認証情報を奪い、その後は"合法的なアクター"として入り込み、組織内で悪さをしてしまう」(コーヘン氏)
実際に発生したインシデントとして、コーヘン氏は2024年4月頃に発生したクラウドデータプラットフォームの「Snowflake」の事案を取り上げる。攻撃者グループはSnowflakeの情報を窃取したのち、このサービスを利用していた165社の企業が不正アクセスを受けている。その後スペインのサンタンデール銀行やチケットマスターといった大企業が次々と不正アクセスの被害を発表しているが、これらもSnowflakeを利用していた企業だ。コーヘン氏は「特にMFA(多要素認証)を設定していなかったアカウントが被害に遭っている」と述べる。
コーヘン氏は、このようなインシデントはイニシャルアクセスブローカーと呼ばれる、侵入初期段階に必要な不正アクセス手段を販売するアクターが発端になっていると述べる。そこから情報を購入した攻撃者が、実際のサイバー攻撃でその情報を活用するのだが、購入された後わずか3日程度で侵入に至っている事例もあり、「この状況を把握するには、ダークWebやテレグラム、ハッカーのディスカッションフォーラムをソースとし、善意のリサーチャーが常に情報をモニタリングすることが重要だ」と指摘する。
導入企業が語るセキュリティレベルのスコア化による意外なメリット
KELAはサプライチェーンリスクに関する国内外のニーズを基に、SLINGのセキュリティスコアリングソリューションを提案する。上記のようなダークWebのモニタリング結果を含め、特定のドメイン配下にある資産のリスクスコアを算出、レポートするサービスを提供しているという。
SLINGのセキュリティスコアリングソリューションは、サプライチェーン全体のセキュリティ向上を目指すため、アタックサーフェスマネジメントとして組織の外部からアクセス可能なIT資産を検知し、そこに存在する脆弱(ぜいじゃく)性などのリスクを継続的に検出、評価する。
この他、そこに含まれる情報がダークWebに存在するかどうかといった情報から、自社やグループ会社、海外拠点、個人情報委託先を含め、スコアリングを実施した結果を表示する。SLINGの中島 彬氏(リージョナルセールスマネージャー)は「事案として表層化する前の段階で攻撃者に選ばれないために、スコア化したセキュリティチェックを提供する」と述べる。
記者発表ではSLINGスコアリングソリューションをベースとし、ドメイン名情報を基にリスク評価レポートをPDFで納品する、ビヨンドブルーのサービス「SecureCheck Powered By SLING SCORE」(以下、SecureCheck)も紹介された。Webサイト経由で見積もり、申し込みが可能な診断サービスで、月1回のレポートを受け取れる。
賃貸不動産ポータルサイト「Mooovin」を運営するKACHIALはWebサイト改修や事業拡大フェーズに突入するに当たって、現状のセキュリティレベルを把握するためにSecureCheckを活用している。KACHIALの藤 大貴氏(Mooovin事業部ディレクター)は、「SecureCheckはレポートが非常に分かりやすく、経営者や決裁権を持つ層、現場の共通言語になっている。セキュリティ対策を実施すると分かりやすくスコアが変動するため意識向上にもつながる。今後も継続して活用したい」と述べた。
関連記事
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
freeeのCISO茂岩祐樹氏が大いに語る セキュリティの事業貢献は「大変だし怖い」
セキュリティの重要性が経営層にうまく伝わらないと悩む担当者は多いことだろう。セキュリティが事業に貢献するにはどうすればいいのか。元DeNAで現フリーのCISOを務める茂岩祐樹氏がポイントを語った。
なぜ多機能な製品は、セキュリティ的に“ダメ”なのか
昨今のサイバー攻撃の多くは電子メールやWeb経由ではなく、VPN機器の脆弱性がきっかけとなっています。これを防ぐにはアップデートの適用が非常に重要ですが、それを阻むのが製品「多機能化」だと筆者は主張します。一体どういうことでしょうか。
セキュリティ担当者がいま学びたいプログラミング言語とは?
Linux FoundationとOpenSSFが安全なソフトウェア開発教育に関するレポート「Secure Software Development Education 2024 Survey」を公開した。調査から、多くのセキュリティ担当者が積極的に学びたいと考えているプログラミング言語が判明した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
人気記事ランキング
- Claudeに店舗運営任せたら暴走して大赤字になった件 素人丸出しでも光る可能性
- Chromeに深刻な脆弱性「CVE-2025-6554」 急ぎアップデートを
- 多要素認証突破も当たり前 今話題のリアルタイムフィッシングとは?
- 有料のウイルス対策ソフトを入れる人は“初心者”? マルウェア対策を再考しよう
- Lenovo製PCに潜むAppLocker回避の脆弱性 標準ユーザーでも書き込み可能に
- AIエージェント連携技術「A2A」標準化へ 7社の狙いと「顔ぶれ」の意味を読む
- Google、「ゼロ知識証明」技術のライブラリーをオープンソース化
- AWSが日本に2兆円投資する理由 大規模イベントで語られた未来の姿
- Microsoft Intuneの設定リセット不具合が発覚 恒久的な対策は現状なし
- 北朝鮮系ハッカー集団がClickFixを採用 Chromeを装った攻撃に要注意
ITmediaはアイティメディア株式会社の登録商標です。