本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

自組織の対策だけでは防げない「サプライチェーン攻撃」が社会問題化

デジタル技術革新やビジネスのグローバル化が進む中、高度な攻撃手法を用いたサプライチェーン攻撃の被害が急増し、社会問題化しています。IPA（情報処理推進機構）が公表する「情報セキュリティ10大脅威（組織編）」では、サプライチェーンの弱点を悪用した攻撃が2年連続で2位となりました。 取引先企業がランサムウェア攻撃に感染したことで、世界的な大手製造業が事業停止を余儀なくされたことは記憶に新しいでしょう。 サプライチェーンは、メーカーやサプライヤー、物流業者、販売代理店など複数のステークホルダーが関与する複雑なネットワークです。また、一つの供給元だけでなく、その下請け業者やさらに下の階層のサプライヤーまでリスクが存在します。

被害急増の背景にある「アタックサーフェースの拡大」、外部公開IT資産の脆弱性が狙われやすい

昨今では、サイバー攻撃に狙われる攻撃対象範囲、いわゆる「アタックサーフェース」が増えています。サプライチェーン内の各企業が異なるセキュリティポリシーを採用しているため、狙いやすいアタックサーフェースから攻撃が仕掛けられるようになりました。 多くの攻撃者は、まず公開されている情報やインターネットからアクセス可能な外部に公開しているIT資産から得られる情報を探り、攻撃対象や攻撃手法を検討します。 外部公開のIT資産としては、事業部門が主導で立ち上げたWebサイトやサーバ、従業員が業務利用するクラウドサービスなど、管理側での情シス担当者が把握しきれないものも含まれています。こうした未把握資産はセキュリティ対策が不十分な状態で放置されていることも多く、サイバー攻撃の入り口として狙われるリスクが増加しています。

サプライチェーンにおける脆弱性管理をどう実践すべきか？

こうしたサイバー攻撃から自組織を守るためには、外部に公開されているIT資産を特定し「弱点を晒していないか」を継続して定期的に評価する仕組みを構築することが重要です。 ただ、子会社やグループ会社を保有している企業は、外部公開IT資産の棚卸しができていなかったり、大量のIT資産に対する最新の状況を把握できないことが起きています。それらを適切に把握した上で全社的な対策ができなければ、結果的にサイバー攻撃などのセキュリティインシデントのリスクを高める原因につながってしまいます。 攻撃者は直接狙うのではなく、セキュリティが弱い第三者を経由して侵入を試みます。そのため、自社のコントロール範囲を超えた部分で攻撃が発生する可能性があります。

「ASM」がサプライチェーン攻撃対策に必要不可欠な理由、手軽に導入可能なツールをご紹介

自社のセキュリティ強化だけでは防げないサプライチェーン攻撃に対抗するには、どうすればよいのでしょうか。 その第一歩として、本セミナーでは「ASM（Atack Surface Management）」の導入を提案します。ASMは、サイバー攻撃から自社のIT資産を守るための手法として注目されています。ASMの基本的な考え方や特徴、留意点、取り組み事例などに加えて、サプライチェーン攻撃対策に必要不可欠な理由を解説します。さらに国産ならではの使いやすさと導入しやすい価格帯が特徴の「ネットde診断 ASM」をご紹介します。 「サプライチェーン攻撃対策を強化したい」「子会社やグループ会社など多くの外部公開IT資産の管理に課題がある」という方は、セキュリティ強化を図るヒントとしてぜひ参考にしてください。

講演プログラム

13:45～14:00　受付

14:00～14:05　オープニング（マジセミ）

14:05～14:45　自社のセキュリティ強化だけでは防げない「サプライチェーン攻撃」、情シスが取るべき最善策とは？～サプライチェーンセキュリティを向上させる「ASM」の賢い導入・運用方法を紹介～

14:45～15:00　質疑応答

主催

GMOサイバーセキュリティ byイエラエ株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

※本セミナーは、中小・中堅企業の情報システム部門、システム運用／セキュリティ運用部門の方を対象に開催します。該当しない企業の方の申込みについて、場合によってはお断りさせていただくこともございます。あらかじめご了承ください。

拡大するアタックサーフェス、脆弱性や設定ミスを狙うサイバー攻撃が急増

サイバー攻撃が巧妙化する中、その攻撃の対象となるIT資産や攻撃点、攻撃経路である「アタックサーフェス（攻撃対象領域）」が拡大しています。アタックサーフェスとは、ネットワーク機器、インターネットに接続されたシステムやアプリケーション、デバイス、外部に公開しているWebサイトなど、サイバー攻撃者に狙われる可能性のある環境／領域を指す言葉です。 今やあらゆる資産が攻撃対象領域となり、それらの脆弱性や設定ミスなどが組織の資産や事業運営を攻撃するために悪用される可能性が高まっています。 また、多くの日本企業は、標的型サイバー攻撃の増加を受け、侵入を前提としたサイバーセキュリティ対策にシフトしてきました。その結果、「事後対応型（リアクティブ）」のセキュリティ対策が主流となり、インシデントレスポンスが重視されています。 一方、「事前対応型（プロアクティブ）な対策」への移行は、セキュリティの専門家や組織のセキュリティ担当者にとって長年の優先課題でした。ただ、満足のいくソリューションが存在しなかったことも事実です。 しかし、近年ではセキュリティインシデントの原因がソフトウェアの脆弱性に限らず、ネットワーク機器や医療機器など多岐にわたることから、国家機関やセキュリティベンダー、利用者によりプロアクティブな対策導入の必要性が高まっています。

経産省もガイドラインを公表、外部公開IT資産のリスク管理に役立つ「ASM」「エクスポージャー管理」に集まる注目

そうした中、経済産業省は2023年5月に「ASM（Attack Surface Management）導入ガイダンス～外部から把握できる情報を用いて自組織のIT資産を発見し管理する～」を公表しました。 同ガイドラインでは、サイバー脅威に対して自社が保有するIT資産を適切に管理しリスクを洗い出すことを推奨しています。そもそもアタックサーフェス管理とは、「リスク管理」そのものであると言えます。アタックサーフェス管理は、インターネットに露出している資産に対するリスク管理です。インターネットに露出しているネットワーク機器やIoT機器、サーバーなどの外部アセットと、「AWS」や「Microsoft Azure」などのクラウドアセットに分けられます。 また、リスク管理は「アセット管理」「脆弱性管理」「セキュリティポスチャ」の大きく3つの取り組みから成り立っています。自社のIT資産をアセット管理で把握し、IT資産の抱える脆弱性を脆弱性について理解し、脆弱性管理でそれらに対処します。さらにセキュリティポスチャによって自社のセキュリティ強度を知り、適切なセキュリティレベルを維持することに取り組むという流れです。 そうしたセキュリティポスチャを実現する方法が「エクスポージャー管理」です。エクスポージャー管理は、アタックサーフェス管理とアイデンティティ管理などが含まれます。

巧妙化するサイバー攻撃に先手を打つ「エクスポージャー管理」の実現方法を解説

アタックサーフェースが増え続ける中、巧妙化するサイバー攻撃から自組織を守るため、どのようにエクスポージャー管理を実現していけばよいのでしょうか。 本セミナーでは、主に中堅・中小企業の情報システム部門、システム運用／セキュリティ運用部門の方を対象に開催します。限られたスキルやリソースなどが課題となりセキュリティ強化が難しい中小・中堅企業でもエクスポージャー管理を実現できる具体的な方法として「WithSecure™ Elements Exposure Management」をご提案します。クラウド依存比率が高い保険会社におけるユースケースを踏まえて、同ソリューションを活用したエクスポージャー管理の実践方法を紹介します。 ますます巧妙化するサイバー攻撃に先手を打てるセキュリティ強化を実現したい方は、ぜひご参加ください。

講演プログラム

09:45～10:00　受付

10:00～10:05　オープニング（マジセミ）

10:05～10:45　増え続けるアタックサーフェス、中堅・中小企業でも実現可能なエクスポージャー管理とは？～巧妙化するサイバー攻撃者に先手を打つ、セキュリティ対策実践のススメ～

10:45～11:00　質疑応答、クロージング

主催

ウィズセキュア株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認下さい。

本セッションは、19社・団体が講演する国内最大級のゼロトラストイベント「ゼロトラストDAY」の一セッションです。ぜひ他のセッションにもご参加下さい！

　

世界最高クラスのインターネットインテリジェンスCensysを利用した国産ASM製品senda

今般、政府から、「能動的サイバー防御」の導入を柱とするサイバー安全保障政策が発表され、このような能動的なサイバー防御、即ち能動的に、自らのインターネットアセットの脅威と脆弱性を発見、検知、分析を行うASMが、徐々に一般企業でも導入されつつあります。 私達、Rainforest は、Censysの世界最高クラスのインターネットスキャンニングサービスのデータを利用した、国産のASMとして　「senda」　を製品化し、Censysによる高い精度と鮮度での攻撃面の把握を行い、国内の脆弱性情報とも連携し、更に官学における国内でのサーバー攻撃観測データをも活用した、日本独自のASMとして、海外製品一色のこの市場に一石を投じてゆきたいと考えています。

講演者

株式会社レインフォレスト 代表取締役 岡田 晃市郎

プロフィール

セキュリティ企業にて、マルウェア解析や観測データを活用し、不正送金対策ソリューションの開発に従事。 2018年にレインフォレストを立ち上げ、サイバーセキュリティに関連する研究開発、IPレピュテーションサービスkr:nsやCensysを利用したASMツールの開発とリリース行う。また、横浜国立大学において、IoTマルウェアの研究に従事。

本セッションは、19社・団体が講演する国内最大級のゼロトラストイベント「ゼロトラストDAY」の一セッションです。ぜひ他のセッションにもご参加下さい！

イベント全体概要はこちら

　

本セッションの時間

（５分前に別途ご連絡するURLからZoomにご参加下さい）

16:20～16:35　世界最高クラスのインターネットインテリジェンスCensysを利用した国産ASM製品senda

16:35～16:40　質疑応答

16:40～　続けて他のセッションにもご参加下さい

　

講演企業各社のプライバシーポリシー

アイシーティーリンク株式会社　https://www.ictlink.jp/privacy/ 株式会社アクシオ　https://www.axio.co.jp/privacy/ 株式会社オーシャンブリッジ　https://www.oceanbridge.jp/info/privacypolicy/ エンカレッジ・テクノロジ株式会社　https://www.et-x.jp/privacy/ かもめエンジニアリング株式会社　https://solution.kamome-e.com/consentform 株式会社GFD　https://gf-design.jp/policy/ GMOグローバルサイン株式会社　https://www.globalsign.co.jp/policy/privacy_translated.html 萩原テクノソリューションズ株式会社　https://www.hagiwara.co.jp/privacypolicy/ 三菱総研DCS株式会社　https://www.dcs.co.jp/pp/index.html 株式会社レコモット　https://recomot.co.jp/policy/ OneLogin by One Identity　https://www.oneidentity.com/jp-ja/legal/privacy.aspx 株式会社スタイルズ　https://www.stylez.co.jp/privacy/ NECソリューションイノベータ株式会社　https://www.nec-solutioninnovators.co.jp/privacy/index.html 株式会社フライトソリューションズ　https://www.flight.co.jp/privacy/ 株式会社ディー・ディー・エス　https://www.dds.co.jp/ja/privacypolicy/ 株式会社レインフォレスト　https://www.rainforest.co.jp/privacy.html

主催

ゼロトラストアライアンス・ジャパン（プライバシー・ポリシー）

協力

株式会社レインフォレスト（プライバシー・ポリシー）

株式会社オープンソース活用研究所（プライバシー・ポリシー）

マジセミ株式会社（プライバシー・ポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。