JBCC、「Attack Surface診断サービス」を発表--脆弱なIT資産を保護

大河原克行

2023-01-24 07:00

 JBCCは1月23日、セキュリティ対策サービス「Attack Surface診断サービス」の提供を開始した。攻撃者目線で侵入経路となり得る領域を見つけ出し、それを一括で診断できるサービスで、グループ企業の子会社や海外拠点など、インターネット上に公開されている企業のIT資産を検出して、脆弱性の有無や危険性を定期的に診断できる。

 このサービスでは、パロアルトネットワークスのAttack Surface(攻撃対象領域)のマネジメントソリューション「Cortex Xpanse」を活用。管理ツールを用いて、ドメインやIPアドレスなどの情報を基にして実際に公開されているIT資産を検出するため、各部門で個別に構築したクラウド環境や、管理者が不明なまま最新の状態になっていないVPN装置など、情報システム部門がこれまで把握できていなかったIT資産も可視化して、セキュリティポリシーに従って診断できる。これを基に、組織全体での強固なセキュリティを実現できるとしている。

アタックサーフェス(攻撃対象領域)とは何か
アタックサーフェス(攻撃対象領域)とは何か

 JBCCを中核としたJBグループは、企業のデジタルトランスフォーメーション(DX)を支援するトータルITサービス「HARMONIZE(ハーモナイズ)」を提供する。今回のAttack Surface診断サービスは、同サービスのセキュリティソリューションの1つとして提供することになる。

 JBCC 執行役員 セキュリティサービス事業部長の桐原泰二氏は、「攻撃者は、外部に公開されているIT資産の脆弱性を突いて侵入することが多いと見られている。これを見つけ、その対策を提言することが、Attack Surface診断サービスの役割になる」と位置付ける。

JBCC 執行役員 セキュリティサービス事業部長の桐原泰二氏
JBCC 執行役員 セキュリティサービス事業部長の桐原泰二氏

 インシデント事例では、世界的な食肉事業者がブラジルなどの海外拠点のIT機器の脆弱性を突く攻撃者に侵入され、米国の拠点でランサムウェアによる被害が発生、システム停止を余儀なくされ、身代金を支払うという事件に発展した。また日本でも、大手製造業で関連子会社のVPN装置から侵入され、ランサムウェアに感染。製品供給が滞り、全ての工場の業務が停止するという事例が発生している。

 JBCC セキュリティサービス事業部 リスクアセスメント担当の萩原晋平氏は、「どちらも管理が行き届いていないところから侵入されている点が共通している。最近のセキュリティインシデントを見ると、こうしたケースが急増している」と指摘する。

 脆弱性が確認されている古いバージョンのウェブサーバーや、設定不備の状態で運用されているクラウド、管理されていない脆弱性のあるVPN装置、「シャドーIT」(IT部門などの管理下にないITサービスや機器など)によって意図せずに公開されたRemote Desktop Protocol(RDP)のほか、サプライチェーンでつながっているシステム機器、Server Message Block(SMB)やRemote Procedure Call(RPC)などのファイル共有に関連するサービス、Point-to-Point Tunneling Protocol(PPTP)やFile Transfer Protocol(FTP)など安全性が低いプロトコルを利用している機器、デジタル証明書の有効期限が切れている懸念があるサービスなどが、攻撃者の視点からは狙いやすいものになっているという。

JBCC セキュリティサービス事業部 リスクアセスメント担当の萩原晋平氏
JBCC セキュリティサービス事業部 リスクアセスメント担当の萩原晋平氏

 萩原氏は、「テレワークの普及などによってシステムへの出入口が増えているほか、クラウドサービスの普及により、データが分散化傾向にある中で、守る側は変化し複雑化するIT環境を常に監視し、安全な状況を保つことが求められている」と述べる。Garterでは、「Cyber Security Top Trend 2022」において早急に取り組むべきセキュリティテクノロジースタックとしてAttack Surfaceを“1丁目1番地”に掲げているとし、「デジタル庁でも『デジタル・ガバメント標準推進ガイドライン』で重要なセキュリティ対策の考え方としてAttack Surfaceを挙げ、設計時のチェックリストにも含めている。国内外でも最も注目を集めているセキュリティ対策の一つになる」(萩原氏)という。

 今回のサービスでは、診断ツールで検出された外部脅威やリスクについて優先付けをして分類し、評価を実施。企業の環境の調査やヒアリング内容に基づいて、JBCCのセキュリティスペシャリストが独自の診断結果レポートを作成して報告する。レポートにはIT資産の検出結果や、攻撃リスクの調査結果、考察を提供する。

 また、検出されたセキュリティリスクに対する対策案や、ロードマップを定期的な報告会で提言する。診断回数は年4回で、継続したセキュリティ診断を実施することにより、最新のセキュリティ情報を基に安全なシステム環境を実現するという。

「Attack Surface診断サービス」の概要
「Attack Surface診断サービス」の概要

 萩原氏は、「外部公開されているIT資産がいかに狙われやすいかという視点で、リスクや危険性を分析、評価する。また、こうしたセキュリティ対策は経営層を巻き込んでトップダウンで進める必要がある。リスク分析結果は、経営層にも理解をしてもらえるような形にまとめたエグゼクティブサマリーも用意し、リスク対策のための提言も行う」とした。

 今回のサービスでは、企業規模や利用目的に合わせて、3つのサービスプランを用意。いずれも月額サービスで提供する。従業員5000人未満の中堅および大手企業向けの「Plus Lightプラン」、大手および超大手企業向けの「Plus Standardプラン」、Cortex Xpanseのライセンスを除いた診断および運用サービスの「Attack Surface 診断サービス」をラインアップした。Cortex XpanseのライセンスなしのAttack Surface 診断サービスは月額55万円から提供する。今後1年間で50社へのサービス提供を目指す。

 さらに萩原氏は、「新サービスは目的ではなく手段であり、診断後が重要。ここにJBCCの価値がある。結果に基づいて対策を取るための実装力を生かし、セキュリティ対策を提案して、継続的なセキュリティ対策、運用を可能にしていく」とも述べた。

 デバイス、ネットワーク、ID、サーバー、データといった守る対象に合わせ、顧客の特性に合わせた各種サービスを用意する。「SMAC」と呼ばれるセキュリティ運用監視センター(SOC)では、認定ホワイトハッカー集団によって24時間の監視や1次対応を実施。顧客のシステムを理解したセキュリティスペシャリストがSMACと連携して、インシデントの解決に取り組む体制も敷いているという。

 JBCCのセキュリティサービス事業は、セキュリティの脅威を可視化する「見える化サービス」、オンプレミスに必要とされるゲートウェイ、エンドポイント、メールなどのセキュリティソリューションを全方位で提供する「セキュリティソリューション」、マルチクラウドおよびハイブリッドクラウド環境の構築実績から最適なクラウド運用を支援するための「クラウドセキュリティサービス」、各企業に最適なセキュリティ運用支援サービスを提供する「マネージドセキュリティサービス」で構成される。「見える化サービスを760社以上に提供し、マネージドセキュリティサービスでは約1000社に提供している。お客さまに最適なセキュリティ対策を診断から実装、運用まで網羅的にセキュリティサービスとして提供できる点がJBCCの強み」(桐原氏)とする。

 同社は、セキュリティサービスを超高速開発、クラウド、クラウドデータ連携と共に注力事業の一つに位置付けており、2021年度のセキュリティサービスの売上実績は57億9800万円だった。前中期経営計画がスタートした2017年度に比べて2.5倍の規模に成長している。2022年度上期も前年同期比8.7%増の29億8800万円となっており、着実に事業を拡大している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]