[新製品・サービス]

2022年3月2日(水)日川 佳三（IT Leaders編集部）

リスト

　サプライチェーンセキュリティリスク調査サービスは、サプライチェーンに潜むサイバーセキュリティのリスクを調査するサービスである）。「漏洩アカウント被害調査サービス」と「外部公開IT資産リスク調査サービス」の2つのコアサービスで構成する（図1。

図1：サプライチェーンリスク調査サービス（参考メニュー）の概要（出典：ソリトンシステムズ）

　漏洩アカウント被害調査サービスでは、ユーザーの被害状況を、指定したドメイン配下のサブドメイン単位で報告する。個々の漏洩アカウントについて、該当する事件名やパスワード漏洩状況などを報告する。オプションで、サイバー空間上の類似ドメインや打ち間違いリスクも報告可能である。

　外部公開IT資産リスク調査サービスでは、ネットワークをスキャンして、インターネットに公開しているIT資産をカタログ化する。この上で、脅威情報ソースを活用してリスクを評価する。主要クラウドサービスのリソースのスキャンも可能である（現在はAWSだけ、AzureとGoogle Cloudは近日対応予定）。ユーザー環境には情報収集のためのサーバーやエージェントは不要である。

　なお、同サービスでは、攻撃者がターゲット組織を調べる際に用いるものと同じOSINT（Open Source Intelligence：公開情報調査）手法を採用し、攻撃者の視点からサイバー空間に存在する情報を収集する。これにより、自社を含むサプライチェーン全体を対象に、外部に漏洩したパスワードなどのアカウント情報や、外部に公開しているIT資産の脆弱性などを明らかにする。

　サービスを利用するにあたって必要な情報は、ドメイン名だけである。調査後に、得られた情報/データを基に、具体的なサイバー攻撃対策の構築に関するコンサルティングサービスやシステム実装サービスを提供することも可能である。

　参考価格は、ベースとなるドメイン10個の基礎調査が350万円から。継続的なモニタリング調査を依頼する場合、外部公開IT資産の管理ダッシュボード（月次スキャン）が1ドメインあたり年額240万円から。専門家チームによる調査・監査サービスは、数10～数100のドメインの全調査（2カ月程度）と報告書で700万円から。