リスクマネジメント リスクマネジメント記事一覧へ

[新製品・サービス]

偽アプリや偽サイトは企業の責任か!?米RiskIQが主張するFW外部のセキュリティ問題

2015年12月10日(木)田口 潤(IT Leaders編集部)

企業内部からの情報漏えいや、マルウェア問題、標的型メール攻撃−−。対処すべき事柄が広がる一方のサイバーセキュリティにおいて、新たな問題を指摘する企業がある。米RiskIQだ。同社は「企業はファイアウォールの外側にも気を配る必要がある」と話す。ファイアウォールの外側とは一体何のことなのか?

 「サイバー犯罪は年々どころか、日々、巧妙になっている。企業は今や、ファイアウォールの内側を守るだけでは不十分で、外側にも気を配らなければならない」(米RiskIQ アジア太平洋担当マネージングディレクタのジェンナ・ラビー氏)−−。こう聞いて、読者はどう思うだろうか?ファイアウォールの内側を守るのにさえ苦労している情報セキュリティ責任者やCIOにとっては“新たな難題"と言っていいだろう。

 しかし「ファイアウォールの外側にも気を配る」とは、具体的にはどういうことか?金融機関や小売業がスマートフォン用のアプリケーションを配布することを考えよう。これは利便性を高めて利用者や顧客との結びつきを強める有力な手段だ。だが欧米では、悪意を持つ組織や個人が正規のアプリから偽アプリを作り、IDやパスワードを搾取するケースが増加し始めているという。

 そこまでいかなくても、以前からのフィッシング詐欺も年々巧妙になっている。Facebook上の偽アカウントやGoogleの偽広告など、SNSへと広がっている。SNS上での重役のなりすまし行為、不正なアカウントの取得といったことだ。

 これに対し、「被害者には気の毒だが、偽アプリや偽サイトによる被害は自社とは無関係」といったロジックが考えられるし、これまでは注意喚起すれば済んでいた。事実、サイバー犯罪ではなく、偽のブランド品や製品による被害は、消費者(利用者)の責任であって、正規品のメーカーは通常責任を負わない。しかしRiskIQによると、「サイバー犯罪でも、アプリやWebサイトの偽物による被害は必ずしもそうではない」という。

 偽商品の場合、正規品メーカーが取れる対策には自ずと限界があるし、正規の販売店で買うなどの注意をしなかった消費者に責任がある。偽物と知って買う場合も、もちろんあるだろう。これらに対し、偽アプリや偽サイトはネット上に存在するので、企業は相応の対策が取れる。仮に同業他社が対策を講じているのに自社の対策がいい加減だった場合、信用を落とすレピュテーションリスクも生じる。「サイバー空間で何らかのビジネスやサービスを提供する以上、相応の責任が伴う」(同)というわけだ。

 犯罪を起こす側が狙うのは、偽のアプリやWebサイトだけではない(図1)。企業が大規模なWebサイトを構築する場合、コンテンツ制作や会員管理などに複数の事業者が関与するケースが多くなる。自社が管轄するIT資産について厳重な対策を打っていたとしても、どこかに穴がある可能性がある。2015年秋に大きな問題になった「傾きマンション」と同じような構図と言えるだろう。

図1:犯罪を起こす側は、偽アプリやWebサイト以外も狙っている図1:犯罪を起こす側は、偽アプリやWebサイト以外も狙っている
拡大画像表示

 こうした現状を教えてくれたRiskIQは、この分野の専門ベンチャー企業。「2007年の会社設立と同時に米Amazonや米eBayなどと協業して、企業の外側にあるIT資産の状況を監視するサービスを開発した。サービスの一般向け提供を開始した2011年には、すぐに銀行や保険会社などが関心を示し、今ではFortune500の10%が何らかの形でサービスを利用している」とする。

 「だから日本企業にも知ってもらいたい」というわけだが、そもそもRiskIQはどんなサービスを提供するのか?第1は、企業が有するWebやモバイルアプリの棚卸し(可視化)だという(図2)。企業が利用するクラウドサービスや、保有するSNSアカウントなども含まれる。「例えば経営幹部のSNSアカウント、国内外にある子会社や関連会社のWebサイトなどだ。これらは危険なほど早く増えているので、大半の企業は可視化や管理ができていない」(ソリューションエンジニアリング担当のイーサン・ダビドフ副社長)。

図2:米RiskIQが提供するサービスの範囲図2:米RiskIQが提供するサービスの範囲
拡大画像表示

 次に可視化した情報を元に企業のインターネット空間をクロールして探索し、ファイアウォール内外のIT資産に関するインベントリである「Enterprise Digital Footprint」を作る。この過程で企業が管理していない、いわゆる“シャドーIT”の資産が数多く発見されるという。

 その上で監視サービスを提供する。同社がインターネット上に張り巡らせているプロキシサーバー群を使って、どこに、どんなリスクが生じているかをモニタリングし、レポートする仕組みである。「例えば日々、160以上あるスマホアプリを監視している。検索可能なアプリは1340万以上ある」(ダビドフ氏)。

 RISK IQのサービスを利用するかどうかは別にして、「ファイアウォールの外側のIT資産」に関わるセキュリティは、少なくともグローバルに事業展開する金融業や流通業、製造業なら明確に意識すべきテーマだろう。

関連記事

偽アプリや偽サイトは企業の責任か!?米RiskIQが主張するFW外部のセキュリティ問題企業内部からの情報漏えいや、マルウェア問題、標的型メール攻撃−−。対処すべき事柄が広がる一方のサイバーセキュリティにおいて、新たな問題を指摘する企業がある。米RiskIQだ。同社は「企業はファイアウォールの外側にも気を配る必要がある」と話す。ファイアウォールの外側とは一体何のことなのか?

PAGE TOP