Bitsight | インタビュー掲載

インタビュイー：
Bitsight Technologies, Inc. Regional Sales Manager 高野 氏

Bitsightのサービス概要と、Cyber Risk Intelligence Platformに至るまでの展開について教えてください

Bitsightは、MIT(マサチューセッツ工科大学)出身の人間が起業したのが元々の発端です。MITでサイバーセキュリティの研究を行っていたStephen Boyer(ステファン・ボイヤー)が創業者の一人で、今も会社に在籍しています。世の中には信用リスクなどのレーティングサービスはあったのですが、サイバーセキュリティのレーティングは当時存在していませんでした。そこで「Googleマップのサイバーセキュリティ版」のような、サイバーセキュリティに関するレーティングを世の中に提供したいという思いから開発が始まり、会社が創業されました。

その後、創業以来のアタックサーフェス管理に加え、買収したBitsight CTI(旧CyberSixgil)の脅威インテリジェンスを統合することで、外部観測のセキュリティレーティングを起点にしながら、攻撃者側の動きまで含めたサイバーリスクを多面的に把握できるプラットフォームへと発展してきています。クリアウェブだけでなく、ダークウェブやディープウェブの情報まで活用できる点が、現在のCyber Risk Intelligence Platformとしての強みになっています。

想定ユーザー層と、典型的な検討動機について教えてください

国内で見ると、やはり金融機関や製造業のお客様、製薬企業様での利用が多いです。とはいえ、ITサービスや人材系サービスを手がけている業態のお客様もいらっしゃいますので、業種としては幅広くご利用いただいています。製品のバックグラウンドから、グローバル企業様ほど親和性が高いというのはありますが、大手の証券会社様や銀行様だけでなく、商圏が限定される地銀、信用金庫のような企業のお客様にもご利用いただいています。割合としては大手企業様が多いものの、中堅規模の企業様にもご活用いただける製品です。

検討動機としては、国内ではまだファーストパーティ(自社)やグループ会社のセキュリティガバナンス、いわゆるセキュリティポスチャーを可視化する目的でのご利用が多いです。そこからサプライチェーン上のサードパーティを評価するというのは、他の国に比べると日本はまだ少し遅れている部分があるかなと思っています。そのほか、国内でもM&Aのデューデリジェンスとして、買収先をサイバーリスクの観点で調査するために使われるケースや、保険会社様が実際にサイバー保険を提供するにあたっての引受業務、判断材料としてBitSightをご利用いただくケースもあります。

スコア算出ロジックの透明性と、改善指針の提示方法について教えてください

スコアは現在、300点から820点というレンジで算出しています。例えば、第三者であるサイバー保険会社様が我々のレーティングと実際のインシデント発生可能性との相関性を調査してくださっているのですが、レーティングの元になっているリスクドメインという考え方があります。インターネット側から各企業様の状況を把握して、例えばSSL証明書の設定状況、オープンポートの状況、マルウェア感染しているシグナルが見られるかなど、いろいろなリスクを外部から情報収集してリスクごとに評価しています。

評価の仕方ももちろん公開させていただいていますし、どういったリスクドメインがセキュリティインシデントとの相関が高いから割合として多い、といった重み付けの考え方も、ご利用いただいているお客様にはご案内しています。

改善指針の面では、製品の中でご利用いただくと、やはり「レーティングを上げよう」という取り組みになってくるのですが、具体的にどういったアクションを取れば将来的にどういったスコアが予測されるかというフォーキャスト機能なども搭載しています。課題があるところに対して、どの項目をアクションすればどういった改善につながるか、というところを製品の中で実装しています。

評価対象企業の選定と、ベンダープロファイルの活用について教えてください

グローバルで4000万社近い企業のセキュリティプロファイルがすでにありますので、サプライチェーンの中で特定のサードパーティがその4000万社の中に存在していれば、すぐに使って評価いただくことが可能です。既存のベンダープロファイルをそのまま参照する形であれば、評価開始までのリードタイムはほぼ無く、ご契約後すぐに評価を開始いただけます。

ケースによってはその4000万社に入っていない企業様もありますが、その場合は公開されているホームページや独自のメールアドレスをお持ちであれば、新しく4000万社に追加して評価することもできます。全ての企業様で必ずできるかというとケースバイケースなのですが、新しく登録して評価いただくことは可能になっています。

課金の単位については、基本的にサードパーティを評価する場合は、対象となる企業の数に応じてライセンス体系が変わる形になります。10社か、100社か、1000社かといった単位でライセンスというか課金が変わる仕組みになっています。

Bitsight Gromaによるリアルタイム検知と、修正内容のスコア反映について教えてください

基本的にグローバルで公開されているIPv4やIPv6の資産を独自のGromaと呼んでいるスキャニングプラットフォームでほぼ毎日モニタリングしている状況です。対象企業のIT資産の設定の不備や、それに紐づくソフトウェアの脆弱性が新しく出てきた場合などは、かなりリアルタイムに把握される形になります。

検知された状況を踏まえて、翌日にはスコアが見直される仕組みになっていますので、もちろん軽微なものであれば実際にはスコアが変わらなかったというケースもありますが、基本的には翌日ぐらいにはスコアに反映される仕組みになっています。修正が行われた場合も、同じスキャンサイクルで検知されますので、改善の動きもスコアに速やかに反映されるという形ですね。

製品ラインナップの組み合わせ利用パターンと、CyberSixgill統合後の脅威インテリジェンス系モジュールの独自価値について教えてください

大きくラインナップでいくと、創業からやっているアタックサーフェスマネジメントの領域があり、ファーストパーティもサードパーティもアタックサーフェスを見てレーティングに反映するというアプローチが1つです。もう1つが、買収したCyberSixgill(サイバーシックスギル)現Bitsight CTIというイスラエルの会社で、こちらはいわゆる脅威インテリジェンスの製品になります。両者の融合はどんどん進んでいます。

創業から我々がやってきたのは、クリアウェブと呼ばれる、普段皆さんがアクセスされるインターネットの世界のデータを収集してスキャンを行い、可視化したりレーティングに反映したりする形でした。Bitsight CTIは、クリアウェブよりもダークウェブやディープウェブが対象になります。攻撃者がよくアクセスするフォーラムであったり、攻撃の調査資料、攻撃に使われるツールキット、漏洩してしまった企業のIDやパスワードがそこで売買されている状況なども収集しています。

見ているインターネットのデータが違うのですが、2つの製品の融合がどんどん進んでいるので、アタックサーフェス管理の領域に脅威インテリジェンスのデータが活用されて新しい機能がどんどん出てきている状況です。逆にアタックサーフェス管理側で特定の企業様の資産情報をBitsight CTI側に連携して、その資産に関わるプロアクティブなリスク状況を見ていただくといった、双方向での活用が可能になっています。アタックサーフェスと脅威インテリジェンスを組み合わせてご利用いただくケースは、かなり増えてきています。

日本語対応の実態(UI・レポート)について教えてください

製品の中でメインの文に関しては日本語化されています。とはいえ、補足的なガジェット的な情報を表示する部分に関しては、まだ日本語化されていないものもあります。ベースは日本語化されていて、英語も一部残っている形です。

製品の中でレポートを作る機能もあるのですが、経営層向けや現場向けのレポートはすでに日本語化されていますので、不自由なくご利用いただけるかなと思います。

日本国内の導入実績について教えてください

国内の導入事例で名前を出せるところで言いますと、NEC様が自社の取り組みとしてBitsightを活用していることを記事化されたり、資生堂様は事例化頂いております。

国内の社数で言うと、実は1つの契約でグループ会社含めて200社、300社で使われているケースもありまして、利用社数で言うと国内で数百社にはご利用いただいている形だと思います。業種としては、先ほど申し上げた金融・製造・製薬を中心に、ITサービスや人材系、政府機関などにも広がっており、グループ会社・サプライチェーン評価を含めると幅広い領域でご利用いただいています。

サプライチェーン委託先管理・監督義務対応への活用について教えてください

単純にプロファイルを見る、委託先のセキュリティ状況やレーティングを見るというアプローチもありますが、よくあるのが、Excelなどで質問票を作って定期的にアセスメントされているTPRM(サードパーティリスクマネジメント)業務です。そういった業務を、我々のポータル上で質問票をサプライヤーさんとやり取りして、もちろんデータで記録を残していただいて、というところまで対応いただけるようになっています。

従来はExcel・メール・電話などで、ログが分散するようなアプローチで業務対応されていた状況を、Bitsightのポータルを使って委託先と連携を行って質問を投げ、回答を回収し、さらにその得られた質問票への回答の裏付けをBitsightのデータで取れる。そこが我々の強みかなと思っています。委託先管理の継続的な記録・可視化が求められる中で、評価結果の客観的な証跡として、内部統制や監査対応の文脈でもご活用いただいています。

BitSightの適合企業と、不適合ケースについて教えてください

セキュリティを可視化するという意味だと、そこまで資産がたくさん無いような企業様、例えばホームページが1つしかない、メールのドメインも1つしかありませんといった企業様の場合は、自社の資産が分かりきっています。インターネットに公開している資産がかなり限定的なので、弊社のような製品を使って可視化して、できていないところの対策をするか、というと、そんなワンクッションを置く必要もないのかなと思うケースもあります。

単体企業でグループ会社もそれほどなくて、資産が限定されているケースは、BitSightという製品をわざわざ入れる必要性を感じていただきにくいかなとは思います。逆に、そういった企業様は、他の会社がモニタリングする対象先としては存在し得るとは思いますが、自社のセキュリティを可視化したいというニーズで導入いただくにはハードルが高いかなと考えています。

一方で、多くのインターネット公開資産を持つ企業様や、グループ会社を抱える企業様、サプライチェーンの委託先評価を継続的に行いたい企業様には、効果を発揮しやすい製品だと考えています。

料金体系について教えてください

ファーストパーティもサードパーティも、大体同じような考え方になっておりまして、モニタリングする先の会社の数に応じて、というのがベースラインになっています。例えば、多くのインターネットに関わる資産をお持ちであっても、そこはあまり関係ないですし、利用ユーザー数がどれだけ多くてもそこも関係ない形です。

ファーストパーティでグループ会社が100社あった場合に、必ず100社分のライセンスがいるかというとそうではなくて、地域単位でライセンスを持っていただくといった選び方もありますし、サードパーティの場合は特に、モニタリングしたいサードパーティの数に応じて、という形になります。費用が大きく変動する要因としては、こうしたモニタリング対象の企業数が中心になります。

中長期のプロダクト展望について教えてください

昨今ですとAIを活用したものはすでにいろいろと取り組みが始まっていまして、製品の中にも組み込まれている状況のものもあります。逆に、AIの脅威といった話が昨今非常に増えてきていますので、そういった側面でもお使いいただける機能がいろいろと出てきています。

例えば、特定の企業様がどういったAIを使っている可能性があるかという可視化や、AIそのものに脆弱性があってそこを攻撃されるようなリスクも出てきていますし、AIの進化により今まで見つかっていなかった脆弱性が今後膨大に見つかるといった脅威も昨今報道されています。そういった環境変化にお使いいただける機能が強化されてきております。

あとは、脅威インテリジェンスのサービスも、日本のお客様にもご導入いただく状況が増えてきています。他社の競合製品に比べても比較的安価でデータのカバレッジも非常に広く、リアルタイムにデータを活用して調査いただいたり、自社やサードパーティに関わる脅威を事前に把握いただいたりするのにお使いいただける製品になっていますので、アタックサーフェスと脅威インテリジェンスを組み合わせたご利用は、これからもさらに広がっていくと考えています。

まとめ・編集部コメント

Bitsightは、MITでサイバーセキュリティ研究を行っていた人物が創業した、サイバーセキュリティのレーティングサービスです。SSL証明書の設定状況、オープンポートの状況、マルウェア感染のシグナルといったリスクドメインを、グローバルで4000万社近い企業のセキュリティプロファイルから外部観測データに基づき300〜820点のレンジでスコア化しています。評価手法を公開している点や、スコア改善のためのフォーキャスト機能を提供している点は、客観的なリスク評価を求める企業にとって有用な仕組みといえるでしょう。

多くのインターネット公開資産を持つ企業や、グループ会社を抱える企業のセキュリティガバナンスを担う担当者の方にとって、Bitsightは有力な選択肢となるサービスです。M&Aのデューデリジェンス、サイバー保険の判断材料、サプライチェーン全体のリスク可視化など、さまざまな利用シーンに対応している点も、グローバル展開している企業にとって検討してみる価値のあるサービスといえます。