「DIS TOTAL SECURITY」のヘルスチェックサービスで、リスクを可視化して顧客に動機づける

ダイワボウ情報システム（DIS）が提唱するサイバーセキュリティビジネス戦略「DIS TOTAL SECURITY」のビルディングブロックにラインアップする「ヘルスチェック」は、顧客のICT資産の健全性を診断するサービスだ。このヘルスチェックは顧客にセキュリティ対策の必要性を認識させる有効な手段であり、サイバーセキュリティビジネスを伸ばすだけではなく、ICTビジネス全般の拡大へのシナリオにもつながる。ここではヘルスチェックのサービス内容とその効果を解説する。

　顧客がセキュリティ製品を購入する際、サイバー攻撃の被害に遭うなど実害のあるインシデントを経験したことが理由となるケースが少なくない。言うまでもなくICTを利用する全てのユーザーにセキュリティリスクは常に存在しており、インシデントを経験していないのではなく、すでに被害に遭っているにもかかわらず気付いていないケースも多い。

　では顧客が実害を被る前にセキュリティ対策を強化させるにはどうすればいいのだろうか。そこでダイワボウ情報システム（DIS）は顧客のICT資産の健全性を診断するサービス「ヘルスチェック」を提供している。簡単、手軽に提供できるヘルスチェックを通じて、現状のセキュリティリスクを可視化して顧客にセキュリティ対策の必要性を納得させることができ、その対策に必要な製品の導入につなげられる。

　ただしセキュリティ対策と一口に言っても実際の取り組みは多岐にわたり、対策の対象や目的に応じて製品やサービスが数多く提供されている。漠然とセキュリティ対策の強化を目指して手当たり次第に対応を続けると、それに伴う投資は莫大な金額となる。

　そこでDISのヘルスチェックによって運用中のICTの弱点を把握し、弱点に対して優先順位を付けて対策を講じることで効率良く、効果的にセキュリティ対策を強化できるというメリットがある。

　DISのヘルスチェックでは外部からのリスクと内部のリスクの両面でセキュリティリスクを診断するサービスが提供される。

　外部からのリスクを把握するために利用されるのは「EASM（External Attack Surface Management）」と呼ばれるカテゴリーの製品だ。具体的にはサイファーマの「DeTCT」の機能限定版となる「DeTCT Starter」が用いられる。

　EASMとは外部からの（External）のサイバー攻撃の対象となり得る全てのIT資産（Attack Surface）を把握・管理（Management）するためのツールだ。EASMツールを利用することで自社のICTの脆弱性やリスクを、サイバー攻撃を仕掛ける攻撃者の目線で可視化できる。

　EASMツールによって可視化されたICTのいま現在の脆弱性やリスクを顧客に提示すれば、すでにサイバー攻撃が仕掛けられていることに気付かされ、たとえインシデントを経験したことがなくてもセキュリティ対策の必要性を実感するだろう。

　またEASMツールで指摘された脆弱性やリスクは攻撃者が悪用する可能性の高い攻撃対象であり、リスクの高い対象から順番に対策を講じることができる。つまりやみくもにセキュリティ対策を講じるのではなく、狙われている箇所をピンポイントで効果的に、優先順位を付けて効率良く、無駄な投資をすることなくセキュリティ対策製品の導入を促進できることもEASMツールを利用するメリットとなる。

　内部のリスクの可視化にはシスコシステムズの「Cisco Umbrella」（以下、Umbrella）とMicrosoft 365に特化したクラウド型メールセキュリティサービス「Cisco Secure Email Threat Defense」（以下、ETD）が提供される。

　Umbrellaは自社の端末がインターネットにアクセスする際に、アクセス先のドメインやIPアドレスが安全あるいは許可されているかを確認し、危険あるいは禁止されている場合は通信を遮断するクラウドサービスだ。

　一方のETDはMicrosoft 365で外部からの受信メール、外部への送信メール、さらに社内でやりとりするメールを検査し、マルウェアやフィッシングメール、ビジネスメール詐欺、脅威を含む社内メールなどを検出して脅威を排除するとともに、判定結果を記録するMicrosoft 365専用のクラウドサービスだ。いずれも社内に潜むリスクを可視化して、その脅威を排除する。

　ヘルスチェックではUmbrellaおよびETDを一定期間稼働させてインターネットアクセスとメールの脅威を排除しつつ、可視化された実態を顧客にレポートすることで社内に潜むリスクを認識してもらい、セキュリティ対策製品の導入を促進する。

　ヘルスチェックで提供するサイファーマのDeTCT StarterやシスコシステムズのUmbrellaおよびETDは、それぞれEASM、DNSセキュリティ、eメールセキュリティのカテゴリーにもラインアップする。ヘルスチェックでの一時的な利用にとどまらず、これらの効果を実感してもらい導入につなげることも、セキュリティビジネスを継続的に成長させるシナリオの一つとなる。

　またUmbrellaとETDを利用してフィッシングメールやビジネス詐欺メールなどに含まれる危険なURLへのアクセスの実態を知ることで、社員のセキュリティリテラシー向上もセキュリティ対策の重要な取り組みの一つであることも認識してもらえるだろう。そこで教育サービスを提供することで顧客のセキュリティ強化に貢献できる。

　＊　＊　＊

　サイバー攻撃に用いられるテクノロジーは日々進歩しており、手口も巧妙化している。そのためセキュリティ対策には新しいカテゴリーが次々と加わっている。EASMもその一つだ。こうした最新のリスクに対抗するには、新しい企業の新しい製品も積極的に取り入れる必要がある。

　そこでDIS TOTAL SECURITYでも国内外を問わず、スタートアップ企業であっても実績があり評価の高い製品を積極的に取り扱っている。前述したヘルスチェックおよびEASMにおいて提供しているサイファーマは、海外を本拠とするスタートアップ企業だ。市場での歴史は短いながらも同社の製品は日本の大手企業をはじめ海外の政府機関や金融機関などに導入されており、高い評価を獲得しているため、DIS TOTAL SECURITYを通じて同社の製品を提供している。

EASM（External Attack Surface Management）は新しいセキュリティ対策であり、脆弱性およびリスクの診断に用いる情報の収集や、その分析に専門的な技術力とノウハウを必要とするため、選択肢となるベンダーや製品の数は決して多くない。数少ない選択肢の中でグローバル、特にアジア圏で豊富な実績を誇り高い評価を得ているEASMツールがサイファーマの「DeTCT Starter」だ。

　インシデントが発生していない平常時であってもインターネットに公開している、あるいは社外からのアクセスを許可しているサーバーやネットワーク機器には脆弱性や設定不備などのリスクが潜在する。例えばソフトウェアをアップデートしていなかったり、設定ミスによって公開すべきではないポートを公開していたりするなど、管理者が気付かない問題が放置されている可能性がある。

　厄介なのは正規のIDとパスワードを利用して、正規のユーザーになりすまして不正侵入する攻撃だ。自社の社員のIDとパスワードがダークウェブなどアンダーグラウンドで取引されて流通している場合、漏えいしたIDとパスワードを把握して変更しない限り、正規のユーザーとしてシステムに不正に侵入されてしまうリスクがある。こうした問題を悪用される前にリスクを把握して対策・管理するためのツールがEASM（External Attack Surface Management）製品だ。

　EASMツールである「DeTCT Starter」を開発、提供するサイファーマは、2017年から日本でビジネスを開始し、シンガポールを拠点にグローバルでサイバーセキュリティビジネスを展開している企業だ。同社の事業は日本市場から開始し、アジア圏から欧州、米国、オーストラリアなどへとビジネスを拡大してきたことも興味深い。

　サイファーマは2017年に日本市場でビジネスを開始した、いわゆるスタートアップ企業だが、日本と海外の両方ですでに多くの実績を上げ、高い評価を得ている。サイファーマで営業責任者を務める館野裕介氏は「自動車などの製造業や流通業など、グローバルで多数の拠点を展開する日本の大手のお客さまをはじめ、アジア圏を中心とした海外拠点では政府機関や金融機関などのお客さまに導入いただいています」と同社の顧客について説明する。

　日本および海外で大手顧客を獲得している理由について館野氏は「実績」だと胸を張る。サイファーマは大手企業向けに外部脅威情勢管理プラットフォームの「DeCYFIR」をこれまで提供してきた。DeCYFIRはダークウェブやハッカーたちが独自に情報交換しているコミュニティなどから情報を収集して、どのような組織がどのような業界の企業に、どのような手口で攻撃を行っているのかを分析し、「敵を知る」ための情報を提供する。さらに「敵から見える自分を知る」ために攻撃者の視点で企業が運用する外部公開システムに対して、潜在的な脆弱性やリスクを可視化したり、自社の社員のIDとパスワードがどこから漏れてしまったのかを把握したりする。この後者の「敵から見える自分」に絞って中堅・中小企業向けに提供を開始したのがDeTCT Starterだ。

　DeTCT Starterを導入することで自社の外部公開資産の潜在的な脆弱性やリスクを簡単に把握できる。その結果、把握した問題に対して有効な対策や管理を行うことで、無駄なく効率的にセキュリティ対策を講じられる。こうした成果が顧客に評価され、それが市場に伝わって顧客を増やしているという構図だ。

　ダイワボウ情報システム（DIS）の「DIS TOTAL SECURITY」には「EASM」という独立したカテゴリーとともに、「ヘルスチェック」というカテゴリーを通じてEASMがサービス提供されている。

　EASMがヘルスチェックとしても提供されていることについて同社のアライアンス・マネージャー 谷田部 順氏は「インシデントが発生していない、あるいは問題があっても気付いていないお客さまにセキュリティ製品を提案しても、その必要性を理解していただくのは難しいのが実情です」と指摘する。

　そこでDISのヘルスチェックはDeTCT Starterを用いて、外部から見える潜在的なリスクを短期間で診断するサービスを提供している。これにより手軽に自社の問題やアタックサーフェスの概要を確認でき、EASMの効果を検証できる。

　谷田部氏は「お客さまのICTの脆弱性やリスクを具体的に指摘した上で、その対策・管理に必要となるセキュリティ製品を提案できるため、導入につながる可能性が高くなるというメリットがあります」とヘルスチェックを評価する。

　さらにサイファーマのDeTCTスペシャリスト 西田典訓氏は「ヘルスチェックの実施後にDeTCT Starterを導入していただくことで、お客さまのセキュリティの継続的な強化を促進し、それを実現するためにさまざまなセキュリティ製品の販売を積み上げていくシナリオが実践できます」と、DeTCT Starterを軸としたセキュリティビジネスのプランを薦める。

情報漏えいや不正侵入などサイバー攻撃の発端はメールに添付されたファイルを開いたり、メールの本文に記載されたURLをクリックしたりするなど、メールを媒介とするケースが非常に多いことはよく知られている。しかし自社の社員が危険なメールを受け取っていないか、危険なURLをクリックしていないかを調べて実態を把握している企業は少ないのが実情だ。そこでメールを通じたリスクを簡単、手軽に把握するサービスを顧客に提案し、対策を促しつつセキュリティビジネスを伸ばすシナリオを紹介する。

　ほとんどの企業では自社で運用しているPCにウイルス対策ソフトを導入してランサムウェアやマルウェアの感染を防いでいることだろう。しかし現在のサイバー攻撃は巧みな件名や文章を駆使して本文に忍ばせたURLをクリックさせることで、悪意のあるURLにアクセスさせてPCに不正に侵入したり、悪意のあるプログラムを稼働させたりするなど、メールを媒介とする手口がポピュラーになっている。

　つまり悪意のあるプログラムのダウンロードやメールでの受信をウイルス対策ソフトで防止する「入口対策」だけではランサムウェアやマルウェアの被害を防ぐことはできないのだ。

　ではメールを媒介として悪意のあるサイトに誘導して感染させる手口にはどのような対策が有効なのか。それは「出口対策」と呼ばれる手法だ。社内で運用している端末のインターネットアクセスを監視し、危険なサイトやアクセスを禁止しているサイトへのアクセスを遮断することでランサムウェアやマルウェアの感染を防ぐ、これが出口対策である。

　出口対策製品としてグローバルで豊富な実績を誇り、高い評価を得ているのがシスコシステムズの「Cisco Umbrella」（以下、Umbrella）だ。監視対象の端末をUmbrellaのクラウドDNSを経由してインターネットにアクセスさせることで、アクセス先のドメインやIPアドレスが安全あるいは許可されているかを確認し、危険あるいは禁止されている場合は通信を遮断する仕組みだ。

　Umbrellaはインターネットアクセス時のDNSをUmbrellaのクラウドDNSに設定するだけで利用できるため、導入の手間がかからずわずかな時間で利用開始できるメリットがある。またUmbrellaのDNSを経由する仕組みのため、監視対象の端末は世界中のどのネットワークに接続されていてもアクセスを監視・管理できるメリットもある。しかも利用は一～数十万台まで規模を問わず導入できる。

　Umbrellaを利用すれば受信したフィッシングメールのURLへのアクセスを遮断するとともに、万が一マルウェアに感染して攻撃者のサーバーにアクセスしようとしても、その通信を遮断してくれる。また端末にエージェントを導入すれば、どの端末がどこにアクセスしようとしたのかを含めて、SaaSやURLなどインターネットの利用状況を個別に把握もできる。

　前述の通りランサムウェアやマルウェアはメールを媒介として攻撃を仕掛けてくるケースが大半だ。それならばメールの監視・対策も必要となることは言うまでもない。しかしSaaSでメールを利用している場合、送受信するメールを1通ずつ確認したり、危険なメールを排除したりする仕組みを機能させるには大掛かりな対応が必要なりがちだ。

　そこでシスコシステムズはグローバルで多くのユーザーが利用しているMicrosoft 365に特化したクラウド型メールセキュリティサービス「Cisco Secure Email Threat Defense」（以下、ETD）を提供している。ETDもUmbrellaと同様に、わずか5分ほどの設定ですぐに使い始めることができる、気軽に利用できるサービスだ。

　ETDを利用すればMicrosoft 365で外部からの受信メール、外部への送信メール、さらに社内でやりとりするメールを検査し、マルウェアやフィッシングメール、ビジネスメール詐欺、脅威を含む社内メールなどを検出して、危険なメールをクラウドから排除し、判定結果とメタデータをETDに保管できる。

　このようにUmbrellaもETDもランサムウェアやマルウェアによる感染や被害のリスクを、ごく初期の段階で防いでくれるサービスであり、その有効性の高さは容易に理解できることだろう。いずれも導入、利用に手間がかからず、コストパフォーマンスも高い。しかしながらシスコシステムズでセキュリティ事業を担当する執行役員 石原洋平氏は次のように指摘する。

「UmbrellaやETDは効果の高いセキュリティ対策が簡単、手軽に実施できるサービスですので、日ごろから利用していただくことでランサムウェアやマルウェアの被害を防ぐのにとても有効な手段です。しかしながらランサムウェアやマルウェアに感染して被害が発生してからUmbrellaやETDを導入するケースが少なくありません」（石原氏）

　そこでダイワボウ情報システム（DIS）ではUmbrellaやETDをインシデントが発生していない平常時のヘルスチェックのサービスとしてもサービス提供している。DISのヘルスチェックでは外部からのリスクと内部のリスクの両面でセキュリティリスクを診断するサービスが提供されており、UmbrellaやETDは内部リスクの診断ツールとして利用されている。

　石原氏は「インシデントが発生していないから安全というわけではなく、感染や被害に気付いていないというケースも少なくありません。そこでDISさまのヘルスチェックでUmbrellaやETDを一定期間利用するだけで、お客さまのインターネット利用やメールの送受信のリスクを可視化できます。その結果を見ていただければ、インシデントがいつ発生してもおかしくないという危機的な状況であることが実感できると思います」とアピールする。

　そして「セキュリティ対策はメールとDNSから、接続する全てのプロセス、より多くのネットワークトラフィック、より詳細なネットワークトラフィックへと面展開すべきです。DISのヘルスチェックを通じてUmbrellaやETDによる点での対策から、例えば今年9月より提供を開始した中小規模のお客さまも導入しやすいシンプルなSASEパッケージ『Cisco+ Secure Connect』を利用した面への対策へと提案を広げてお客さまのビジネスを守り、パートナーさまのビジネスを伸ばしていただきたいと考えています」と強調する。