こんにちは、インサイドセールスを担当している伊是名です。 先日、10月6日(水)にSecurity Days 2021で講演をしまして、その際にカメラマンをしていましたので考察をさせて頂きます。 もしご興味があればこちらから資料希望の旨ご連絡下さいませ! サイバー空間では、システム管理者よりも、攻撃者の方がより多くの情報を持っている。この「情報の非対称性」を埋める為には? 攻撃者は、攻撃対象としている企業の事をよく調べ、よく調査しています。会社のシステムだけではなく、どの様な商品を開発しているのか、どういう市場規模なのか・・・。 一方、守る側である我々は、攻撃者の何を知っていますか?どの国の人?どんな攻撃を得意としている?などの情報を知る術はなかなかないと思います。ここで情報の非対称性が生まれています。 この情報の差を埋めない限り、効果的で適切なセキュリティ対策を打つことはなかなか難しいと考えます。 この情報の非対称性を埋める為には、「敵を知る」という事と「敵から見える自分を知る」ことが重要になってきます。 その中で今回は「敵から見える自分を知る」という部分にフォーカスしてEASM(外部攻撃対象領域管理)についてお話させて頂きました。 弊社ブログでも解説を入れていますので、ご興味があればこちらのブログをお読みください。 EASMとは EASM = サイバー攻撃を受ける可能性のある外部公開システムの管理 お客様とお話をしていると、よく「脆弱性診断とはどう違うのか?」という事を聞かれます。 脆弱性診断は、あくまでも皆様から見て大事な資産(個人情報がある、重要なデータが入っているなど)を指定して診断を行います。 当然、攻撃者はシステム管理者が重要と考えている資産にはあまり興味がありません。なぜなら、それらはしっかりと管理され、対策されていることを認識しているからです。 攻撃者も手間をかけずに簡単に攻撃を行いたいと考える為、守りが固い資産にはなかなか手を出しません。 しかし・・・ システム管理者が…
アタックサーフェス(攻撃対象領域)管理の重要性 今回は、アタックサーフェス(Attack Surface)、日本語訳では「攻撃対象領域」と訳されるサイバー攻撃を受ける可能性のある領域の管理について考えてみます。 アタックサーフェスという言葉は便利な言葉で実に多様な領域をカバーしています。「サイバー攻撃を受ける可能性のある領域」という言葉を考えてみると受け手の属性によってさまざまな解釈が可能です。 例えばアプリケーションセキュリティの世界ではアタックサーフェスというと以下のように定義されています。 ・アプリケーションにデータやコマンドが出入りする経路のすべて ・それらの経路を保護するコード (リソース接続と認証、認可、アクティビティロギング、データの検証とエンコーディングを含む) ・アプリケーションで使用する重要データのすべて (シークレットとキー、知的財産、クリティカルなビジネスデータ、個人データと PII を含む) ・重要データを保護するコード (暗号とチェックサム、アクセス監査、データ完全性、運用上のセキュリティ制御を含む) 「サイバー攻撃を受ける可能性のある領域」は他にはどのようなものがあるでしょうか。もちろんシステムは外せません。モバイル端末もサイバー攻撃を受ける可能性があります。ソーシャルエンジニアリングやメールを受け取る人も対象と言えるかもしれません。 これらすべてにおいて同じ考え方で対応していくことは難しいので、今回は、「外部攻撃対象領域(External Attack Surface)」の管理について考えます。 マルウェア感染について、最近侵入経路が変わってきていることにお気づきでしょうか。マルウェアはメールやWebアクセス、USBの3か所が侵入経路であるから、ここを徹底的に守るべき、という風に言われていた時代がありました。しかし、昨今、VPNシステムやリモートデスクトップ経由、ネットワーク機器やクラウドサービスなど別の侵入経路による被害が増えています。これらに共通する状況は「外部に公開しているシステム」であるというところです。 世界を取り巻く情勢によりリモートワークを推進するためのネットワーク環境やシステムが増えています。その結果、外部に公開されているシステムも増加しています。令和2年に発行された「情報通信白書」(総務省)によると、クラウドサービスを一部でも利用している企業の割合は64.7%だそうです。利用しているクラウドサービスの内訳では、「ファイル保管・データ共有」が56.0%、「電子メール」が48.0%、「社内情報共有・ポータル」が43.0%とのことです。 日々のビジネスを円滑に進めるうえで基礎的でありながら重要なシステムがクラウドシフトしていることがわかります。 攻撃する側からしても外部に公開されているシステムは容易に探索が可能です。管理が甘いシステムをひとつでも見つければ、そこを侵入口として本来の目的を達成するきっかけとすることができます。何重かのセキュリティシステムを突破してメールでマルウェアに感染させるよりも少ない労力で済みます。 このように攻撃者の視点で見ると、外部に公開されているシステムというのは大変おいしい存在です。社内システムへ安全にアクセスするために導入したVPN装置やどこからでもアクセスできるように利用したクラウドサービス、クライアントPCが社外にあることが多くなったため導入したSaaS型のIT管理システムなど、攻撃者にとっては一度でも侵害できれば十分価値のあるものが増えています。 守る側である組織は、この点を意識する必要があります。攻撃者の視点に立てば、外部に公開しているシステムは野放しにしていいものではないことが分かると思います。ではどうすればいいのかを考える上で役に立つ考え方が外部攻撃対象領域管理(External Attack Surface Management)です。字面は難しそうに見えますが、実施内容は非常に単純です。 1. 外部に公開されているIT資産やシステムを把握する 2.…
Cyber Capabilities and National Power -4- 「Cyber Capabilities and National Power」を読んでみるシリーズ第四弾です。 # ちなみに、弊社内の一部では本レポートを「いぎりすのやつ」と呼称しており、原題を忘れがちです。。。 今回は、以下のカテゴリを見ていきます。 ◆Cyber security and resilience <サイバーセキュリティとレジリエンス> ◆Global leadership in cyberspace affairs <サイバー空間における問題に対するグローバルリーダーシップ> ◆Offensive cyber capability <攻撃的なサイバー機能> ◆Cyber…
IDCアナリストブリーフ リスクプロファイルにおける外部脅威インテリジェンスのインパクト ~正確な脅威インテリジェンスを通じて外部の脅威環境を理解し、差し迫った攻撃に備えることが可能に~ ほとんどのサイバーセキュリティは、保護に焦点をあてており、身近に迫りつつある脅威に対して十分な注意が向けられていません。包括的なサイバーセキュリティ戦略のためのインテリジェンスハンティングが注目されています。 IDCのセキュリティプラクティス担当VP、 Simon Piffは、脅威ハンティングが侵害前提の「過去に何が行ったのかを答えを探る」遡及的な活動であるのに対し、インテリジェンスハンティングは、外部の脅威環境を理解し、差し迫った攻撃に備えることを可能とする「これから何が起こるのか」に対する知見を獲得するための活動であるとしています。 インテリジェンスハンティングのメリットは、「誰が」「なぜ」「何を」「いつ」「どのように」行うのかを明らかにすることで、自社のセキュリティ対策をチューニングし有効性を高められること。そして、攻撃を未然に阻止するための活動が可能となることです。 本書では「脅威があらかじめ警告されることの価値が明白になるにつれ、近い将来、この市場分野は成長する」とIDCが予測する外部脅威インテリジェンスが、サイバーセキュリティチーム、お客様のビジネス、株主などのステークホルダーにどのような影響を与えるかが考察されています。ぜひご一読ください。 レポートのダウンロードをご希望される方は以下フォームに必要情報をご入力下さい。 追って、レポートのダウンロード用リンクをご送付いたします。 [contact-form-7 id="6154" title="CYFIRMA IDC Analyst Brief(JP)"]
Cyber Capabilities and National Power -3- 「Cyber Capabilities and National Power」を読んでみるシリーズ第三弾です。 # ちなみに、弊社内の一部では本レポートを「いぎりすのやつ」と呼称しており、原題を忘れがちです。。。 今回は、以下のカテゴリを見ていきます。 ◆Governance, command and control <ガバナンス、指揮統制> ◆Core cyber-intelligence capability <コアサイバーインテリジェンス機能> ◆Cyber empowerment and dependence <サイバー活用と依存> ◆Governance,…
AWS ISV Accelerateプログラムに参加、全世界でDeCYFIR と DeTCTがサブスクリプション利用可能に シンガポール– 2021年8月17日–Goldman Sachs、Zodius Capital、Z3 Partnersが出資する脅威ディスカバリー&サイバーインテリジェンス・プラットフォームを提供するサイファーマ株式会社(本社:東京都千代田区、以下CYFIRMA)は本日、主要製品のDeCYFIR とDeTCTの両製品がAWS Maketplaceで利用可能となったことを発表します。アマゾン ウェブ サービス(以下、AWS)は、お客様のアプリケーションに向け高度なセキュリティ、レジリエンス、有用性を備えたインフラストラクチャ構築を支援するために設計された、クラウドサービスを提供しています。DeCYFIR とDeTCTにより、進展する外部の脅威情勢を可視化するセキュリティ機能を提供します。 更に、CYFIRMAはAWSが提供するIndependent Software Vendore (以下、ISV) Accelerateプログラムに加入しました。同プログラムはCYFIRMAに対し、AWSの営業チームと共に全世界のAWSユーザーに容易にアクセス可能とするなど、共同販売のサポートやメリットを提供します。 DeCYFIRは、パーソナライズされた予見的なインサイトによりビジネスを強化するために設計された、脅威ディスカバリー&サイバーインテリジェンスプラットフォームです。お客様に対するデータ侵害やサイバー攻撃を防ぐために、DeCYFIRは体系的なアプローチにより迅速に脅威を検知し、財務的損害やブランドダメージを回避するための対応策をとることを支援しています。SaaSベースでエージェントレス型の当プラットフォームは2時間以内で設定と運用開始が可能、お客様に対し24時間以内に自社の脅威情勢に関するインサイトを提供することができます。 「DeCYFIR」は、お客様のビジネスに影響を与える可能性のある、サイバー攻撃者による攻撃の予兆やシグナルを探索するために、ダークウェブ、ハッカーフォーラム、クローズドコミュニティを監視し、外部の脅威環境を可視化します。 DeCYFIRは単一のプラットフォームで脅威ディスカバリーとサイバーインテリジェンスのコアとなる6つの領域をカバー、AWSが持つ強固なセキュリティ機能やサービスをさらに強化します。 ・攻撃対象領域のディスカバリー:外部に公開されているIT資産をディスカバリーし、シャドーITや設定不備などによるサイバーリスクを軽減します。 ・脆弱性インテリジェンス:外部公開システムや内部で利用しているIT資産の脆弱性評価を支援します。セキュリティ管理者が脆弱性管理プログラムを効果的に展開し、適切なセキュリティコントロールが適用されることを支援します。 ・ブランドインテリジェンス: お客様のブランド、知的財産(IP)、経営層のプロファイルを悪用のリスクから保護します。DeCYFIRはなりすまし、データ侵害、漏洩を明らかにし、管理者がブランドへの攻撃を認識した時点で迅速にその被害を是正するための行動をとることを支援します。 ・デジタルリスクディスカバリー:防衛者側が自社のリアルタイムなデジタルフットプリントを認識し、ダークウェブ、サーフェスウェブやソーシャルメディアにおけるシステム脆弱性やデータ侵害を発見することを支援します。 ・情勢認識: お客様の正確な意思決定を支援します。DeCYFIRにより、お客様業界のサイバートレンド、利用しているテクノロジーについての実行可能なインサイトを提供。また、提供される脅威インテリジェンスが常にお客様がビジネス展開を行う国・地域に関連するようにデザインされています。…
Cyber Capabilities and National Power -2- 2021年6月28日にイギリスの民間国際的戦略研究機関であるIISS(THE INTERNATIONAL INSTITUTE FOR STRATEGIC STUDIES)から「Cyber Capabilities and National Power」という各国のサイバー空間における能力と国力の評価レポートが公表されました。 # ちなみに、弊社内の一部では本レポートを「いぎりすのやつ」と呼称しており、原題を忘れがちです。。。 今回は日本の評価について7つのカテゴリごとに見ていきます。このような外部機関が発行するレポートは外部情勢を把握するうえで大事ですし、自国がどのように見えているか、自国がどのような状態にあるのかを知るうえでも大いに役立ちます。 ◆Strategy and doctrine <戦略と基本原則> As its title suggests, Japan’s ‘First National…
10億ドルの市場価値となる可能性のあるサイバーセキュリティ企業を選出するアワード、「ベイビーブラックユニコーンアワード」の上位10社に選出 東京– 2021年8月6日–Goldman Sachs、Zodius Capital、Z3 Partnersが出資、脅威ディスカバリー、サイバーインテリジェンス・プラットフォームを提供するサイファーマ株式会社(本社:東京都千代田区、以下CYFIRMA)は本日、2021年”ブラックユニコーンアワード”の一部門、“ベイビーブラックユニコーンアワード”の上位10社への選出と受賞を発表しました。 CYFIRMAは、サイバーセキュリティ製品・サービスを提供する競合他社に先駆けて、この名誉あるアワードの選出を果たしました。選出対象となるには、民間もしくは公的機関による投資において3年から5年以内(”ブラックユニコーンアワード”より数年長い期間を設定)に10億ドル相当の市場価値を達成する見込みのあるサイバーセキュリティ企業としての評価を受ける必要があります。※参考引用:https://en.wikipedia.org/wiki/Unicorn_(finance)当アワードはサイバーセキュリティ市場において一定以上の可能性や展望を備えた企業を選出対象としています。 Mr. Robert R. Ackerman Jr (www.allegiscyber.com審査員)、Mr.David DeWalt (www.nightdragon.com審査員)、Dr. Peter Stephenson (Cyber Defense Labs 審査員)Mr. Gary Miliefsky (www.cyberdefensemediagroup.com審査員) は次のように述べています。 「今回3度目となる”ブラックユニコーンアワード” を、サイバーセキュリティ市場のリーダー企業の中から、CYFIRMAを選出することができ非常に喜ばしく思います。」 今回、攻撃対象領域、脆弱性、データ侵害、データ漏洩を継続的に監視できるデジタルリスク保護プラットフォーム、DeTCTをCYFIRMAがリリースしたタイミングでの受賞の運びとなりました。DeTCTは、架空の企業プロファイルや経営幹部のSNSアカウント等を悪用するソーシャルエンジニアリングやフィッシングキャンペーンを事前に検知しお客様の法規制遵守を支援します。 また主要製品DeCYFIRは着実な成長を続けており、大手企業や政府機関を中心に導入を拡大しています。脅威ディスカバリー&サイバーインテリジェンスプラットフォームとして、経営層やセキュリティ管理者に対し、攻撃対象領域の検知、脆弱性インテリジェンス、ブランドインテリジェンス、デジタルリスク・ディスカバリー、情勢認識、サイバーインテリジェンスの6つの脅威インテリジェンス領域に関する統合的なビューを提供、単一のプラットフォーム上において、ハッカー、キャンペーン、その動機や手法を相互に連携させ、脅威に関するインサイトを提供することで、緊急性の高いサイバー脅威やサイバー攻撃を事前に予見することが可能となります。 CYFIRMAの創業者兼CEO のKumar…
EASMとは 最近、「EASM」という言葉をちらほら耳にする機会があります。EASMはExternal Attack Surface Managementの略語で、日本語でいうと「外部攻撃対象領域管理」になります。 EASM、外部攻撃対象領域管理とはどのようなものなのでしょうか。簡単に言うと、「外部(インターネット)に公開されているIT資産やシステムの把握と、それらに存在する脆弱性を管理する。」ということになります。 近年、日本でも(やっと)クラウドサービスの利用が促進されつつあり、今まで(かたくなに)企業ネットワークの内側に置いていたシステムが外側に出てくることによって、外部に公開されている資産やシステムが増加しています。また、簡単にクラウドサービスを利用することができるようになったことにより、IT部門で把握していない、管理していないシステムが増えてきています。今まではIT部門の許可なくシステムを構築し、外部に公開することは比較的難しかったので台帳管理ができていたかもしれませんが、クラウドシフトの現状ではそうもいきません。このような状況を是正するために、自組織に関連する外部に公開されているIT資産を把握すること。これがEASMの第一歩になります。 続いて脆弱性の管理です。外部に公開されている資産を把握したところで、そこに脆弱性があったら元も子もありません。この脆弱性ですが、注意すべき点があります。一言で脆弱性と言っても、パッチを適用すれば解決するようなものだけではありません。不要なポートの開放、不要なサービスの起動、設定の不備などシステムの堅牢性に関わるものが含まれます。 いかがでしょうか?新しい言葉ではありますが、特段新しい内容でもありませんね。「資産管理しましょう」「脆弱性管理しましょう」これらはもう遥か昔からIT運用で言われていることです。ただ、それでもできていない現状とITを取り巻く環境が変わったことによりEASMという言葉が生まれたのではないでしょうか。 さて、ではなぜ、セキュリティの観点でEASMという言葉が必要となるのでしょうか。 EASMの日本語訳は「外部攻撃対象領域管理」です。そうです。攻撃を受ける可能性があるからこそ、外部に公開されているIT資産はよりしっかり管理しなければなりません。 攻撃者たちもできるだけ少ない労力で目的を達成したいので、ターゲットとする企業の外部に公開されている資産を狙ってきます。それはウェブサーバーやメールサービスとは限りません。IT部門が社員のために構築したVPNシステムかもしれませんし、事業部が利用しているクラウドサービスかもしれません。 どこかひとつでも突破することができれば、そこから侵入することも、そこで得たアカウント情報などを元に他のシステムへの侵入することもあります。 また、残念なことに企業ネットワーク内にほぼすべてのシステムがあった時代と違い、大半が外部に公開されているシステムの脆弱性は常に変化します。今までのように境界防御で脆弱性対応を後回しにすることはできません。外部に公開されている資産の状況を常に把握し、迅速に脆弱性を潰していく必要があり、そうすることによって攻撃者からの攻撃を受ける可能性を軽減することができます。 IT環境の変化、攻撃者の存在により、防御をセキュリティ製品に任せる時代は終わりを迎えつつあります。残念ながら自組織を守るためには、自ら動く、能動的に対応することが求められてきています。 CYFIRMAの提供するサービスでは組織のEASMを支援する機能も標準で提供しています。 ご興味のある方は、どうぞお気軽にお問い合わせください。 CYFIRMAでは色々な視点から脅威インテリジェンスを理解して頂ける様、各種無料のコンテンツをご用意しています! ✧毎週火曜日に発行「Weekly Security Update」 CYFIRMAが独自で毎週発行している「Weekly Security Update」のメールマガジンです。 その週にあった出来事をピックアップし、さらにサイファーマならではの情報も交えてご紹介しています。 ハッカーの会話をモニタリングしているからこそ、通常では得られない様な情報もいち早く手に入れる事ができますので、 ご興味のある方は下記よりお申込下さい。 ※同業他社の方はお断りする場合がございます、ご了承下さい。 メルマガお申込 (メルマガお申込ページが新しくなりました) ✧毎月定期開催「CYFIRMA…
Cyber Capabilities and National Power -1- 2021年6月28日にイギリスの民間国際的戦略研究機関であるIISS(THE INTERNATIONAL INSTITUTE FOR STRATEGIC STUDIES)から「Cyber Capabilities and National Power」という各国のサイバー空間における能力と国力の評価レポートが公表されました。 # ちなみに、弊社内の一部では本レポートを「いぎりすのやつ」と呼称しており、原題を忘れがちです。。。 今回から2回に渡って、このレポートについて見ていきます。このような外部機関が発行するレポートは外部情勢を把握する際に重要なうえ、自国がどのように見えているか、自国がどのような状態にあるのかを知るうえでも大いに役立ちます。 レポートの対象国は、アメリカ、イギリス、カナダ、オーストラリア(以上、ファイブアイズのメンバー)、フランス、イスラエル、日本(以上、ファイブアイズとサイバー対応における同盟国)、中国、ロシア、イラン、北朝鮮(以上、ファイブアイズとその同盟国がサイバー脅威とみなしている国)、インド、インドネシア、マレーシア、ベトナム(サイバー空間における能力が初期段階にある国)の15か国で、それぞれに国について以下の7つのカテゴリで評価を行っています。 ※かっこ書き内の表記はエグゼクティブサマリーに準じています。 ・Strategy and doctrine <戦略と基本原則> ・Governance, command and control <ガバナンス、指揮統制>…
