東陽テクニカは2022年7月26日、脆弱性検査/脅威通知サービス「サイバーリスク早期警戒サービス」(開発元:フィンランドArctic Security)の販売を開始した。特徴は、サイバー攻撃者の視点での検知である。外部に公開している脆弱な情報資産や企業内部から外部に発信している不正通信を検知し、関連する脅威をメールで自動通知する。
東陽テクニカが販売を開始した「サイバーリスク早期警戒サービス」(開発元:フィンランドArctic Security)は、脆弱性検査/脅威通知サービスである。特徴は、サイバー攻撃者の視点での検知である。外部に公開している脆弱な情報資産や企業内部から外部に発信している不正通信を検知し、関連する脅威をメールで自動通知する(図1)。
図1:「サイバーリスク早期警戒サービス」の概要(出典:東陽テクニカ)拡大画像表示
不正通信のあて先情報や脆弱性情報を集めたデータベースと、企業内ネットワークと外部との通信フロー情報を照会し、企業の情報資産に関連した脅威のみを選択して通知する仕組み。IPアドレスやドメイン情報から情報資産を自動検出することから、機器の設置やエージェントのインストールは不要である(画面1)。
画面1:「サイバーリスク早期警戒サービス」の画面(出典:東陽テクニカ)拡大画像表示
100種類以上のデータベースから集めた1500万件超の脅威情報を利用する。開発元のArctic Securityは、各国のプロバイダーから、脆弱な情報資産に関する情報や、通常では入手が困難な通信フロー情報の提供を受けているという。
サービス利用の手順として、まず、外部から攻撃を受ける可能性がある脆弱な情報資産を、IPアドレスやドメイン情報から、正確かつ網羅的に洗い出す。グループ会社や関連会社を含めて包括的に情報資産を検知可能なことから、サプライチェーン全体のリスク対策に活用できるとしている。
また、脅威情報と通信フロー情報から企業内部から外部に送信している不正な通信を検知する。ランサムウェアへの感染などのセキュリティインシデントを早期に察知し、被害が拡大する前に対処を行える。最大6カ月前までさかのぼって不正通信の履歴を通知できることから、サイバー攻撃の前後に起きたイベントのフォレンジック調査にも応用が可能である。主な検知内容は以下のとおり。
- インシデント通知
- マルウェアに感染しているアセット
- マルウェアをホストしているアセット
- C&CサーバーなどのBotnetインフラ
- フィッシングサイトをホストしているアセット
- 外部に対してサイバー攻撃や不正行為を行っているアセット
- 脆弱性通知
- 既知の脆弱性を保有したアセット
- 脆弱な暗号アルゴリズムが利用可能なアセット
- 有効期限切れの証明書を使ったアセット
- DDoSアンプ攻撃に利用されているアセット
- 設定ミスのあるアセット
