株式会社ラック

トップレベルのセキュリティ技術を駆使した
ITトータルソリューションで、未来をきり拓く

セキュリティ事故発生時はこちら

情報を守り、未来を創造するパイオニアとしての信頼と自信で、もっと先へ

最高峰のセキュリティサービスと、ITトータルソリューションを提供します。

閉じる

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティに係るお客様の緊急事態に際し迅速にお客様をご支援する緊急対応サービスです。
緊急事態が発生したら今すぐ「サイバー救急センター」にご相談ください。

電話で相談する

メールで相談する

サイバー救急センター®のメールアドレス

ご相談は予約不要、24時間対応

緊急対応窓口:サイバー救急センター®

セキュリティ事故発生時はすぐにご連絡ください

LAC WATCH
2018年03月12日 | サービス・製品

自社のWebサイト、「見えて」ますか?

こんにちは。セキュリティコンサルティング部の小原です。

今回は、ラックが取り扱っているRiskIQというセキュリティ製品の特長を、私がその導入支援に従事した経験も交えながらお伝えしたいと思います。

リスク管理は自社のWebサイトを把握することから

近年、企業のWebサイトを狙ったサイバー攻撃が巧妙化する中で、被害の約5割は、IT部門やセキュリティ部門(以下、IT部門等)が把握していなかった、「忘れられた」または「見えていない」Webサイトを狙った攻撃に由来するとされています(RiskIQ社)。

実際、IT部門等が以下のようなWebサイトの存在を漏れなく把握することは非常に難しいのではないでしょうか。

IT部門等が把握していなかったWebサイトの例

  • グループ会社や海外支社等が勝手に立ち上げたサイト
  • 過去にキャンペーン用に作られ、不要になったが閉鎖されていないサイト
  • 管理者が引き継がれず、誰も把握していない(忘れられた)サイト
  • 外部に公開してはならないテスト用サイトの外部公開
  • ビジネス部門がクラウド上に勝手に立ち上げたサイト

Webサイトは企業の顔(ブランド)とも言えるため、Webサイトがサイバー攻撃を受けた場合、IT部門等の所管であったかどうかに関わらず、企業の信用が低下する原因になります。

また、IT部門等で把握・管理しているWebサイトであっても、HTTPSに対応したサイトであるかどうかや、使用ソフトウェアのバージョンはいくつかといったWebサイトに関連する情報まで管理できていることは、ほとんどありません。

一方で、こうしたWebサイトに関連する情報に起因するユーザへの見え方を系統的に把握し、管理することの重要性は増す一方です。

例えば、Google Chrome等のブラウザでは、SSL証明書の期限切れやオレオレ証明書の利用といったWebサイトで使用されているSSL証明書に問題がある場合は、サイトの閲覧に際し、警告が表示されます。

Google Chromeで表示される警告画面の例

Google Chromeで表示される警告画面の例

企業の信用低下や機会損失を招かないためにも、自社が保有するWebサイトの全体像を正確に把握し、その状態やWebサイトに関連する情報も合わせてモニタリングすることが求められます。

RiskIQとは

RiskIQは、特定企業または特定企業グループ(以下、特定企業)のWebサイトを「インターネット上で探索し、ユーザや攻撃者と同じ視点で見る」ことをコンセプトにした製品です。

このため、自社のWebサイトがどこにどれだけ存在し、攻撃者からどれだけ狙われやすい状態であるのか、ユーザからどのように見えているのかを知ることができます。

インターネット上で探索し、ユーザや攻撃者と同じ視点で見る

インターネット上で探索し、ユーザや攻撃者と同じ視点で見る

自社が把握していないWebサイトの例

  • 過去に立ち上げたキャンペーンサイト
  • 管理者不明の忘れられたサイト
  • 外部公開してはいけないサイト
  • グループ会社や海外支社が勝手に立ち上げたサイト
  • ビジネス部門がクラウド上に勝手に立ち上げたサイト

リスクが潜んでいるWebサイトの例

  • サポート期限切れソフトウェアを利用しているサイト
  • SSL証明書の期限が切れているサイト
  • 自社で許可されていないCMSを利用しているサイト
  • オレオレ証明書を利用しているサイト

RiskIQには利用目的により、3つの製品体系があります。

  • 所有サイト管理目的で有効な「Digital Footprint(DF)」
  • 詐称サイト検出目的で有効な「External Threat(ET)」
  • 攻撃者調査目的で有効な「Passive Total(PT)」

このうち、本稿で紹介する内容はすべて「Digital Footprint(DF)」に関するもので、「External Threat(ET)」「Passive Total(PT)」には当てはまりません。

RiskIQによる自社のWebサイトの探索

RiskIQは、Passive DNS(DNS情報の収集の仕組み)を利用した世界中の膨大な名前解決の実績データベースをもとにして、特定企業に関連するWebサイトを探し出します。

グローバル展開している企業や、キャンペーンサイトを定期的に立ち上げている企業は、想定しているよりはるかに多くのWebサイトが見つかることが珍しくありません。私の経験では、事前にお客様が想定した数の2~3倍、多いところでは5倍ものWebサイトを探し出したことがありました。このことから、Webサイトの把握率は、甘く見積もっても「半分以下」というのが一般的な日本企業の現状と考えられます。

また、管理されていないWebサイトは、ソフトウェアのバージョンアップ等のメンテナンスや定期的なセキュリティ診断が実施されていないことが多いものです。このような状態は、特に顧客情報等を保持している場合、非常に危険です。

親会社がグループ会社のセキュリティ診断等を定期的に実施するケースはよく見られますが、RiskIQのようなツールを用いて診断対象の網羅性を検証しなければ、「半分以上のリスク」は見えないまま残されている可能性が高いと言えます。

探索したWebサイトに潜むリスクのモニタリング

RiskIQは、Webサイトを探し出すだけでなく、以下のようなWebサイトに関連する情報を取得し、モニタリングすることが可能です。

  • ページタイトル
  • ソフトウェアのバージョン
  • SSL証明書に関する情報(証明書の有効期限、証明書発行認証局、署名アルゴリズム等)
  • HTTPSに対応したサイトであるか
  • 使用しているCMS名
  • Whois情報(ドメイン所有組織の登録名、ドメイン管理者の登録名等)

例えば、取得したWebサイトに関連する情報は、脆弱性の存在するソフトウェアやサポート期限切れのソフトウェアを使用していないかを確認するだけでなく、SSL証明書の有効期限が切れているサイトを特定したり、Whois情報のドメイン管理者名からサイト管理者を特定したりするといったことにも役立ちます。

また、RiskIQ側で、簡易的な分析結果を確認できる画面も用意されていますので、適宜参照すると良いでしょう。

RiskIQを利用したモニタリング画面の例(一部)

RiskIQを利用したモニタリング画面の例(一部)

このように、RiskIQで取得したWebサイトに関連する情報をもとに、自社のWebサイトが攻撃者からどれだけ狙われやすい状態であるのか、また、ユーザからどのように見えているのかといったWebサイトに潜むリスクをモニタリングすることが可能です。

最後に

ここまでRiskIQを利用することで自社のWebサイトを特定し、自社のWebサイトが攻撃者やユーザからどのように見えるかを知ることができるとお伝えしました。
自社のWebサイトを適切に把握し、管理ができているか不安のある方は、RiskIQの導入の検討をお勧めします。

次回は、RiskIQを導入したお客様のスムーズな運用開始をサポートするサービスの「RiskIQコンサル導入支援サービス」についてご紹介します。

より詳しく知るにはこちら

より詳しく知るにはこちら

RiskIQのソリューションは、組織の外部向けWeb環境やモバイル環境のリスクを可視化することができるクラウドソリューションです。組織が管理すべき環境の弱点を把握し、管理外となっている資源を発見するなど、多岐にわたる情報を把握することが可能となります。


この記事は役に立ちましたか?

はい いいえ

関連記事

LAC WATCH

関連記事をご紹介します

  • 次世代ファイアウォールとJSIGのベストマッチ

  • アカマイ・テクノロジーズとラック
    セキュリティ協業の経緯 - 第4回「妙手」

  • 標的型攻撃を受けた場合の組織へのダメージを事前に把握するには?

サイバーセキュリティに関する
様々な情報をお届けします

メルマガでは、より厳選した情報を
月に2〜3回配信しています
詳しくはこちら

page top