2024年7月17日、KELAはサプライチェーンリスクの解説にともなう記者説明会を開催した。なお、KELAグループは、サイバー脅威インテリジェンスを柱として、SLINGとULTRA REDの計3社からなる。
SLING リージョナルセールスマネージャー 中島彬氏
ビヨンドブルー 代表取締役 木村光秀氏
KACHIAL Mooovin事業部 ディレクター 藤大貴氏
最初にSLING CEO & CofounderのUri Cohen(ウリ・コーヘン)氏が登壇すると、「サプライチェーン自体が長くなり、そこに多くのベンダーが連なっている。たとえば、弁護士事務所や人事・経理サービスを外部委託している場合はそれらも含まれる。事業継続のためにはサプライチェーン全体を管理しなければならない」と述べると、下図を示しながらサプライヤーとベンダーをつないでいるネットワークが狙われていると警鐘を鳴らす。
特に留意すべきはアカウントであり、クレデンシャル情報を摂取されてしまうと一気に侵入されてしまうと注意を促す。実際に本年4月、Snowflakeが狙われており(同社は否認)、摂取されたクレデンシャル情報から侵入が試みられたという。そこを起点として銀行などにも被害が及んでおり、「MFA(多要素認証)が使われていないアカウントが狙われた」とCohen氏。ダークネットを介在した攻撃はもちろん、どのような企業が攻撃を受けやすいのか同インシデントから読み取れると話す。他にも、サードパーティー製品が狙われた事例もいくつか観測されており、AtlassianやChange HealthCareを挙げるとRaaSが用いられたものもあるとした。「サプライチェーンを可視化することが重要であり、どこに脅威が潜んでいるかを特定できなければならない」と述べると、SLINGの「Third-Party Risk Management」が有用であり、SECやDORAなどによる規制にも対応していくことが重要だとする。
「初期経路としてダークネットに流出しているクレンデンシャル情報が用いられている中、攻撃者視点で構築されているツールを用いることが重要だ。そして、われわれは金銭目的の犯罪者に着目して『Secure Check』をリリースしている」とSLING リージョナルセールスマネージャー 中島彬氏は説明する。
Secure Checkはコーポレートドメインから関連資産を洗い出してマッピングし、各資産の脅威度合いをスコアリングするものだ。リスク評価レポートとしてユーザーにスコアなどが提供され、4段階でリスクレベルが明記されるという。SLINGとパートナー契約を締結しているビヨンドブルー 代表取締役 木村光秀氏は、「中小企業を主として日本で展開していく、1ドメイン8万円から診断が可能だ」と述べる。
実際に不動産管理会社のKACHIALが導入しており、同社 Mooovin事業部 ディレクター 藤大貴氏が登壇。「事業拡大を進める中、デジタル化とあわせてセキュリティ対策は欠かせない。世界各国からのアクセスが増えたり、攻撃を受けたような挙動が見受けられたりする中、Secure Checkを導入した」と述べる。利用開始から約2週間でレポートが提供され、経営層から現場までスコアというわかりやすい形で報告できるため、セキュリティ意識の醸成にもつながっていると藤氏。高いスコアを維持するために継続した対策を行っていくことが重要であり、推進していくとした。
