自動車メーカーのサプライチェーンにおいてランサムウェア攻撃を受け、生産を一時停止したというニュースは多くの人々に衝撃を与えています。
 また、時ほぼ同じく、国会へ提出される予定の経済安全保障推進法案の1つの柱はサプライチェーンの強靭化です。今、企業にとって改めて自社あるいは自グループのサプライチェーンのサイバー対策が喫緊の課題となっています。
 サイバー攻撃は、最近増加の一途であり、特に企業サプライチェーンの弱点を悪用したランサムウェア攻撃が増大しています。攻撃者はターゲット企業を狙うに際し、その企業本体ではなく、セキュリティ対策レベルが相対的に低い海外の子会社やグループ企業、取引先といったサプライチェーンやバリューチェーンを起点とします。経済活動のサプライチェーンに関係するすべての企業が同じレベルの対策を準備することが求められます。

 このような状況において、サイバー攻撃の過去の履歴と実態を調査し、その対策構築を支援すべく、株式会社ソリトンシステムズ(代表取締役社長:鎌田 信夫)は、「サプライチェーンセキュリティリスク調査サービス」を新たに開始します。

 サプライチェーンセキュリティリスク調査サービスは、2種類のコアサービスの組合せで行います。一つは、調査実績の多い「漏洩アカウント被害調査サービス」と補足するオプションサービス、もうひとつは、サイバー空間上に公開されている組織のIT資産のリスクを調査するサービス、「外部公開IT資産リスク調査サービス」の2つです。

 本サービスでは、攻撃者がターゲット組織を調べる際に用いるものと同じOSINT(OpenSource INTelligence)手法を採用、攻撃者目線でサイバー空間に存在する情報を収集することで、自社を含むサプライチェーン全体の外部に漏洩したパスワードを含むアカウント情報や、組織が保有する公開IT資産脆弱性などを明らかにし、リスクを発見します。
 本サービスを利用するにあたり、必要な情報はドメイン名のみであり、対象は日本に限らず世界中どこでも調査することができます。また、この調査のあと、得られた情報/データを基に、具体的なサイバー攻撃対策の構築に関してコンサルティングサービス、および実装作業を提供することも可能です。

【サプライチェーンリスク調査サービス】

図1: サプライチェーンリスク調査サービス(参考メニュー)

【特長】

漏洩アカウント被害調査とそのオプション

  • 1500ドメインを超える調査実績
  • お客様の被害状況を、ご依頼いただいたドメイン配下のサブドメイン単位で報告可能
  • 個々の漏洩アカウントについて、該当する事件名やパスワード漏洩状況等を報告可能
  • オプションサービスで、サイバー空間上の類似ドメインや打ち間違いリスクも報告可能

外部公開IT資産リスク調査

  • ネットワークをスキャンしインターネットに接続されたすべてのIT資産をカタログ化
  • 脅威情報ソースを活用したリスク評価
  • 主要クラウドサービス内の各種リソースのスキャンも可能
    ※現在はAWSのみ、Azure、GCPは近日対応予定
  • お客様環境に別途サーバやエージェントのインストールは不要

【参考価格】

■ベースとなる10ドメイン基礎調査、350万円~

1回の調査だけでなく、継続的なモニタリング調査を推奨

その場合、

■外部公開IT資産の管理ダッシュボード提供

 ・月次スキャン:年間240万円~/ドメイン

■専門家チームによる調査・監査サービス

 ・数10~数100のドメインの全調査

 ・2カ月程度:700万円~/報告書

※記載の社名および製品名は、各社の登録商標または商標です。