全1330文字
PR

脆弱性の悪用リスクをAI(人工知能)が予測するサービスが国内で始まった。ダークウェブなど通常の手段ではたどり着けないサイトの情報を解析。米スタートアップが開発した技術によって、対策の優先順位を示す。

 自治体向けSaaS(ソフトウエア・アズ・ア・サービス)などを手掛けるチェンジが2021年7月に「セキュリティ健康診断」との名称でサービスを始めた。サイバー攻撃者側の情報を収集・分析し、対策の優先順位を示す。

 米スタートアップのサイラコンが開発した、サイバー攻撃リスクを数値化する技術「CyRating(サイレーティング)」を使う。CyRathigを基に、悪用されるリスクの高い脆弱性を同定。その概要や解決策を提示する日本語の診断リポートを顧客に月次で提供する。

 CyRatingの特徴は「ディープウェブ」や「ダークウェブ」といった通常の検索エンジンではたどり着けないWebサイトにある情報まで収集・分析する点。ディープウェブとはログインを必要とするなど技術的にアクセスを制限するサイトで、ダークウェブとは専用の暗号化ソフトなどを使わないとアクセスできないようなサイトだ。

 特にダークウェブはアクセスする際の匿名性が保たれ訪問者の追跡が難しく、サイト自体も匿名性が高い。それゆえサイバー攻撃者が情報交換したり犯罪情報をやり取りしたりする場に使うケースも多い。CyRatingが備える独自のAIアルゴリズムで、ダークウェブやディープウェブのサイトからサイバー攻撃者がどんな脆弱性に注目し、どう悪用しようとしているのかなどの情報を自動収集し、脆弱性ごとに悪用されるリスクをスコア化する。いわば「闇のトレンド」を自動解析する。

図 CyRatingが分析する「闇トレンド」の情報ソース
図 CyRatingが分析する「闇トレンド」の情報ソース
ダークウェブの情報を収集・分析(チェンジの資料を基に日経コンピュータ作成)
[画像のクリックで拡大表示]

攻撃が始まる前に警告

 スコアは1.00から38.46までの範囲で提示する。ある脆弱性のスコアが38の場合、1の脆弱性の38倍の悪用リスクがあるという意味だ。これまでスコア20以上の脆弱性は86%が、3以上の脆弱性は63%が実際に悪用された。2019年にはスコア20を超えた脆弱性が約3800個あったいう。

 実例を見てみよう。フリマアプリのメルカリが2021年4月に公表した顧客情報流出においては、米コードコブのテストカバレッジ計測ツール「Codecov」が不正アクセスを受けたことが原因だった。Codecovの脆弱性について、CyRatingは2020年8月から最大値のスコアを示していたという。

 この他、米石油パイプライン大手コロニアル・パイプラインへのサイバー攻撃に関連した複数の脆弱性や、米サイバーセキュリティー大手ファイアアイのツールがハッキングを受けた際の脆弱性についても、数カ月~1年前にスコアが20以上に達し、顧客に警戒するよう呼び掛けていたとしている。

 CyRatingが調査対象とするのは、Webサーバーソフトやデータベースソフト、OSなどである。ログイン機能や問い合わせ機能といった顧客が独自に実装した部分の脆弱性調査について、チェンジは今後他社との協業などで対応していく方針だ。セキュリティ健康診断の月額利用料は6万円から。診断するIPアドレスの数に応じて料金が変わる。2022年9月末までに100社以上の導入を目指す。