サプライチェーンを守るカギは攻撃者視点の対策、SLINGのCEOが解説

続いて、SLING リージョナルセールスマネージャー 中島彬氏が、SLIN事業について説明した。同氏は、サードパーティーおよびサプライチェーンのセキュリティ態勢を評価する際は、国内外でサードパーティーへの侵害が自社に影響する事案への注目が高まっており、侵害の初期経路としてダークウェブに流出した認証情報の悪用が確認されていることを踏まえることが必要と指摘した。

評価においてはレーティングが有用だが、中島氏は「企業には予算があるので、第一歩を踏み出すことが重要。パートナーと共に届けることもできる」と述べた。

中島氏は、SLINGの特徴として、金銭目的の攻撃者の行動原理・行動範囲に着目しており、攻撃者視点を持っている点を挙げた。経済産業省「ASM(Attack Surface Management) 導入ガイダンス2.1ASMの定義」にも、「ASMは攻撃者視点を持つという特徴がある」と書かれている。

同社は攻撃者に選ばれない対策を打てるよう、スコアリングを行っている。具体的には、ユーザーのドメインを調べ、意図していないWebページの公開などを突き止める。

また、中島氏は競合に対するアドバンテージとして、ダークウェブのモニタリングを挙げた。同社は違法マーケット、サイバー犯罪コミュニティ、違法マーケットといったダークウェブのインテリジェンスまで含めてリスクを判定している。
日本語でリスク評価レポートを提供する「SecureCheck」

説明会には、「SLING SCORE」 を活用したサービス「SecureCheck」を提供しているビヨンドブルーの代表取締役 木村光秀氏、同サービスを利用しているKACHIAL Mooovin事業部 ディレクター 藤大貴氏も登壇した。

「SecureCheck」は、ドメイン情報で診断を実施し、リスク評価レポートをPDF形式で納品する。レポートは日本語に対応している。木村氏は、同サービスについて、「中小企業をターゲットにしており、ポイントに絞ってレポートを提供している」と説明した。

リスク評価レポートは、影響のある情報について、対策が必要な項目をピックアップしている。具体的には、以下の10項目について、リスクの概要、考えられる被害、対策などを紹介している。

リスクスコアリングでセキュリティ対策継続の意識が醸成

そして、カチアルは不動産関連事業を営む企業だ。藤氏は、外国人向け賃貸物件プラットフォーム「Mooovin」の運営に携わっている。「Mooovin」は外国人が入居可能な物件のみ掲載し、オンラインで賃貸する上で必要なすべての手続きが完結する。

藤氏は、「不動産はデジタル化が遅れている業界の一つ。新しい取り組みを行う中でデジタル化が必要である一方、セキュリティが避けられない対策となる」と述べた。

「Mooovin」の改修のタイミングを迎えたこと、ユーザーが増加していること、攻撃を受けている挙動を確認したことが重なったことで、「SecureCheck」を利用したという。

調査の結果、同社のスコアは高く、つまりリスクが低いことが明らかになったが、それでよしとするのではなく、「継続してセキュリティレベルを保持することが重要」と、藤氏は述べた。

さらに藤氏は、「SecureCheck」を利用したメリットについて、「事業部内で共通言語ができたことがよかったし、セキュリティ対策を継続しようという意識を醸成できた。これで、ユーザーに安心と信頼を届けることできる」と語っていた。
（今林敏子）