攻撃者目線の漏洩情報調査(OSINT)による 「偵察段階」からの侵入脅威対策

攻撃者目線の漏洩情報調査(OSINT)による 「偵察段階」からの侵入脅威対策
ウェルスナビ株式会社
ウェルスナビ株式会社
CIT・セキュリティグループ ディレクター 下村 源治 様
システム統括グループ 品質向上チーム マネージャー 妹川 洋之介 様

資産運用の全プロセスを自動でおまかせできるロボアドバイザー最大手のウェルスナビ株式会社。安心・安全に使えるサービス作りを目的として、GMOサイバーセキュリティ byイエラエに様々なセキュリティ対策サービスをご依頼いただいております。今回はペネトレーションテスト(OSINT)について、実施の背景やご検討の決め手、診断範囲の選定方法など、下村様、妹川様にお話を伺いました。

お客様の大切な資産をお預かりするため
セキュリティ対策に注力

当社は日本のフィンテック企業として2015年に創業しました。お客様に提供している「WealthNavi(ウェルスナビ)」は、資産運用に関わる全てのプロセスを自動化したロボアドバイザーによる、資産運用サービスです。豊かな将来に向けた資産運用を誰でもスマホやパソコンで行えます。「ものづくりする金融機関」としてテクノロジーを活用し、金融サービスのイノベーションをリードしたいと考えています。

全自動の資産運用サービス

「WealthNavi」はお客様の金融資産や個人情報をお預かりしているため、様々な脅威を想定したセキュリティ対策に力を入れています。ここではプロダクトの「品質」と「守り」の視点で実施している対策をご紹介します。

一つ目は「品質」の視点の対策です。当社はプロダクトのセキュリティ品質の確保のために脆弱性診断を実施しています。例えば、大規模な機能改修や新規開発したシステムなどをリリースする前に、致命的な脆弱性を排除して、「当たり前品質」を確保するようにしています。この対策は、当社の品質向上チームが主体となって推進しています。

二つ目は「守り」の視点の対策です。当社は毎年セキュリティ点検を実施しています。点検のテーマは、社内外の環境変化やインシデントなどを考慮して決めます。過去には、OSINTとペネトレーションテストを実施し、サイバー攻撃からの「守り」を固めました。この対策は、当社のCIT・セキュリティチームが主体となって推進しています。

脆弱性診断とセキュリティ点検に関する社内ルールは、CIT・セキュリティチームが主体となって定めています。品質向上チームや関連する開発部門の協力が欠かせないため、密に連携しながら適宜見直しています。

サイバーキルチェーン「偵察段階」の
強化を目的としたOSINTの実施

これまでGMOサイバーセキュリティbyイエラエのセキュリティサービスを利用して様々なセキュリティ対策を行ってきました。特にOSINTサービスの実施が印象に残っています。

毎年実施しているセキュリティ点検のテーマを検討する際に、サイバーキルチェーンを参考として分析をしたところ「偵察」段階の課題が議題に挙がりました。システム侵入後の対策については、定期的なペネトレーションテストを通じて改善を進めてきましたが、「偵察」段階の対策については具体的な対策が思いつかず悩んでいたところ、OSINTサービスをご紹介いただきました。

OSINT(Open Source Intelligence)の調査内容詳細

OSINTでは外部公開されている情報(公開サーバ、意図せず外部公開されている開発環境などのアセット、漏洩情報など)を分析し、システムへの侵入が可能か検証していただきます。GMOイエラエに所属する、国内外のCTFコンテストで入賞実績のある技術力の高いホワイトハッカーの知見であれば、攻撃者目線で偵察段階に対する自社のセキュリティ状況を見直すことが出来ると感じ、発注を決めました。

サイバーキルチェーンに基づくサイバー攻撃対策
サイバー攻撃を7つの段階に構造化(①偵察 ②武器化 ③デリバリー ④攻撃 ⑤インストール ⑥遠隔操作 ⑦目的の実行)して、各段階における攻撃活動の特徴を把握し、対策を実施することで防御力を高めることができるという考え方

OSINTの実施から全社的なパスワード運用ルール
改善につながる示唆を獲得

OSINTのサービスを利用した結果、パスワードの運用において気づいていなかったリスクが判明し、すぐに全従業員に注意喚起し危機感を醸成しました。日ごろから周知をして啓蒙していましたが、システムで対策を行うことの重要性を改めて感じ、SaaS型のパスワードマネージャーを導入するなど、全社的なパスワード運用ルールの見直しにつながり、非常に有意義な取り組みとなりました。

またOSINTに限らず、いつも感じていることですが、事前ミーティングの段階からエンジニアの方がご参加くださり、打ち合わせで詳細な要望まで確認していただけるため、適切に要件を把握していただけると感じています。

エンジニアの方に正しく理解していただけているため、診断後にご報告いただく内容も具体的でわかりやすく、資料を見るだけで是正計画に活かすことができ、助かっています。

プロダクトの成長に寄り添う
セキュリティの専門家として期待

当社はセキュリティ対策にとても多くの予算を投じています。プロダクトが増えていくと守るべき情報資産も増え、先々を見越して優先順位を決めて予算を配分することが重要となります。

GMOイエラエには豊富なサービスを高品質で提供できる営業や技術者の方が在籍していると感じています。今後も当社のプロダクトの状況を正しく理解していただき、状況に応じて適切なセキュリティサービスを提案していただくことを期待しています。

会社名ウェルスナビ株式会社
事業内容当社は資産規模や金融知識の有無にかかわらず、多くの働く世代にご利用いただくため、手軽にかつ信頼して利用できる資産運用サービスの提供を行っています。また、「ものづくりする金融機関」としてテクノロジーを活用して、金融サービスのイノベーションをリードしたいと考えています。
URLhttps://corp.wealthnavi.com/

自社に最適なサービスが分かる!
セキュリティ診断/対策
サービスご紹介資料
当社のサービスや製品に関するご紹介資料を
ダウンロードいただけます。
経験豊富なエンジニアが
セキュリティの不安を解消します

Webサービスやアプリにおけるセキュリティ上の問題点を解消し、
収益の最大化を実現する相談役としてぜひお気軽にご連絡ください。

疑問点やお見積もり依頼はこちらから

お見積もり・お問い合わせ

セキュリティ診断サービスについてのご紹介

資料ダウンロード