情報漏えい対策の一環として、ダークウェブ上に自社の機密情報が流出していないか確認したい情報システム部門の方へ。ダークウェブ監視サービスの必要性や、できることとあわせておすすめのサービスを紹介します。
ダークウェブ監視サービスとは、自社の機密情報がダークウェブに流出していないかを継続的に監視するサービスです。
ダークウェブモニタリングサービスとも呼ばれており、従業員のID・パスワード・アカウント情報や、顧客情報、社外秘のデータなど、様々な情報を監視対象として設定できます。
ダークウェブとは、Googleなどの一般的な検索エンジンのデータベースには登録されておらず、検索結果に表示されないウェブサイトです。通信元や通信経路を匿名化する特殊なソフトウェア「Tor(The Onion Router)」や「I2P(The Invisible Internet Project)」を利用しなければ、アクセスできないようになっています。
ダークウェブ上には、顧客のものとみられる個人情報や、社内で利用中のシステムにログインするためのパスワードなどの情報が不正に掲載されるケースが報告されています。これらの情報は、攻撃者が集まる専用の掲示板や売買プラットフォーム上で取引されていることも多く、悪用される可能性が高いです。
ダークウェブ関連のセキュリティサービスには、ダークウェブ上に自社関連の情報が流出していないかを監視するサービスのほか、流れている情報の詳細を調査するサービスもあります。それぞれ目的が異なるため、ここでは両者の主な違いをまとめました。
| 項目 | ダークウェブモニタリング(監視) | ダークウェブ調査 |
|---|---|---|
| 目的 | ダークウェブ上への流出データの有無監視、検知、アラート | 流出情報の詳細や、流出経路、自社が被るリスクなどの調査 |
| 進め方 |
など |
など |
| 利用手段 | ダークウェブの監視に特化したツールの利用がメイン | ツール+専門のアナリスト・リサーチャーが調査 |
上記の表からわかるように、監視フェーズはダークウェブ上の脅威の検知がメインです。一方調査フェーズでは、検知した情報の詳細をリサーチし、その影響度を分析したうえで自社が取るべき対策を提案します。いずれも、ダークウェブを発端として起こりうるインシデントや事故から自社を守るにあたって、欠かせない役割を果たします。
多くのセキュリティ会社は、ダークウェブの監視と調査にまつわるサービスを一体で提供しています。また、ERM(あらゆるリスクを包括的に管理するツール)の一機能として実装されている場合や、脅威インテリジェンスサービス(脅威の検知や対応、流入防止に必要な情報を精査して提供するサービス)とセットで利用するケースもあります。
脅威インテリジェンスサービスについて詳しく知りたい場合は、「脅威インテリジェンスサービスの比較11選。機能や違いは?」の記事をご覧ください。
なお、本記事ではダークウェブの監視を軸に、調査やそのほか関連サービスを提供しているソリューションを紹介します。
ダークウェブ上に情報が流出してしまうと、サイバー攻撃に遭うリスクが高まるため、モニタリングは必須と言えます。この章では、ダークウェブモニタリングの必要性を、4つの観点から解説します。
専用ツールやリサーチャーがダークウェブ上を監視し、自社の機密情報や、偽サイト・なりすましアカウント情報などが流れていないかをチェックします。流出が確認されたら、関連する従業員や情報管理者へ即座にアラート。攻撃に遭う前に対策を講じやすくなります。
仮に、他社サービスの利用が原因で自社の情報が漏えいしたとしても、ダークウェブをチェックしていなければ、その事実に気づくのは難しいものです。その点ダークウェブ監視サービスを利用していれば、他社を起点に発生した情報流出や脅威も検知できます。
サービスの中には、情報の流出が確認されたら該当サービスのパスワードを即座に変更できるタイプや、何かしらの攻撃を受けた場合、自動復旧を試みる別システムと連携できるタイプも。これにより、インシデント対応がより速く効率的に行えるようになります。
ダークウェブ上の脅威が自社に及ぼすと予測される影響の大きさ(リスクレベル)を数値化できるサービスであれば、どの事案から優先対処すべきかが判断しやすいです。セキュリティ対応にかけられるリソースが限られている企業の場合、リスクレベルをもとにリソースを配分すれば、無理のない運用体制を整えられます。
ダークウェブ監視サービスを使って実現できることを、以下にまとめました。
ダークウェブ上を監視し、流出した社内外の情報資産を検知します。監視・検知対象を以下にまとめました。
| 対象 | 具体例 | 目的・効果 |
|---|---|---|
| 社内の認証情報 |
|
|
| 認証情報以外の任意のキーワード |
|
|
| 自社のWebサイト・SNSアカウント・アプリ |
|
同上 |
| インフォスティーラー(感染したデバイスから情報を盗み出すマルウェア)が窃取したデータ |
|
|
| 社内の機密文書 |
|
|
| ダークウェブ上の掲示板・チャットへの書き込み |
|
|
| サプライチェーン(子会社・取引先)の情報資産 |
|
|
ダークウェブ監視サービスで主に用いられる収集方法を、以下にまとめました。
| 方法 | 概要 | 目的・効果 |
|---|---|---|
| OSINT (Open Source Intelligence) |
ダークウェブをはじめ、誰でもアクセスできるサーフェスウェブも含めて情報収集する方法 |
|
| HUMINT (Human intelligence) |
ダークウェブ上に潜む攻撃者など、脅威となりうるターゲットに接触して情報収集する方法 |
|
| キーワード検索 | ID・パスワード・ブランド名など自社の情報資産をキーワード検索する方法 |
|
収集した情報を分析し、特に自社と関連するデータを抽出します。主な抽出方法は、以下の2種類です。
| 方法 | 概要 | 補足 |
|---|---|---|
| 脅威インテリジェンスによる分析 | 収集したデータから、流出した機密情報や、ブランドの毀損につながる情報を分析しながら抽出 | 抽出データが自社に及ぼすリスクを評価するにあたって参考となる情報(過去の攻撃の傾向など)も提供する |
| アナリストによる分析 | 脅威インテリジェンスの抽出結果を確認し、その妥当性を判断。 | 脅威インテリジェンスの情報に含まれたノイズは排除し、追加すべき情報があればピックアップする |
収集・検知した脅威がもたらす被害を最小限に抑えるための支援を行います。 備わっている機能やサービスの一例は、以下の通りです。
| できること | 概要 | 目的・効果 |
|---|---|---|
| アラート(リアルタイム通知) | 情報の流出や自社への攻撃の予兆が見つかったら、関連従業員や管理者へ即座にアラート |
|
| 初動対応 |
管理画面での操作により、初動対応を迅速化。対応可能な操作の一例は、以下の通り
|
同上 |
| SOCサービス(サイバー攻撃の検知・分析・対応を専門に行うサービスの総称)との連携 |
上記の初動対応迅速化の機能では補いきれない領域をカバー。連携可能なサービスの代表例は以下の通り
|
|
| インシデント対応状況の可視化 | ダッシュボード上で、監視対象に起こったインシデントの処理状況(対処/未対処)を一覧表示 |
|
なお、SOCサービスについて詳しく知りたい場合は「SOCサービスの比較14選。違いや費用の目安も紹介」をご覧ください。
脅威と見られる情報が自社に及ぼすリスクを可視化、分析し、その後の対処法を検討します。主に、以下の機能やサービスを提供しています。
| できること | 概要 | 目的・効果 |
|---|---|---|
| リスク評価・スコアリング |
脅威インテリジェンスの提示情報を参考に、3)で抽出されたデータが自社に及ぼすリスクを、リスクスコアとして算出 スコアに加えて、リスクレベルを「危険」「注意」「安全」などのアイコンや、色で表示するタイプもある |
|
| サプライチェーンに対するリスク評価 | 子会社・取引先のリスク評価を行う場合も、上記の方法で実施 |
|
| 情報流出の原因・攻撃者の手口の分析 | AIやアナリストが、自社の情報が流出した原因や経路、攻撃者の手口などを分析 |
|
| レポートの作成 |
リスクスコアと、脅威インテリジェンス・アナリストが提供した情報を踏まえてレポートを生成。 レポートに含まれる項目の一例は、以下の通り
|
|
ダークウェブ監視サービスは、以下4つのタイプに分類できます。
ダークウェブの監視を軸に、自社ブランドの保護やネットワークの脆弱性可視化など、包括的なセキュリティ対策をはかれるタイプ。SIEMやSOARなど、すでに自社で利用しているセキュリティシステムと連携したい場合もおすすめです。
「Recorded Future」は、情報収集対象領域が広いのが特徴。誰でもアクセスできるWebサイトやSNS、掲示板など、100万を超えるソースから毎日5,000万件以上のデータを収集します。ダークウェブ上の掲示板も常時250種類以上をチェックしており、攻撃者のやり取りを見逃しません。
「Deep & Dark Web Monitoring」の場合、同社の担当者がアバターに扮してダークウェブに潜り込み、ターゲットに接触する手段・仮想HUMINTを採用。アバターでは攻撃者と同じ目的を持っているかのように装い、データを入手した経路や攻撃手法など、本来は攻撃者しか知り得ない情報を聞き出します。
ツールの操作を中心に、インシデント発生時のアラートや、対処状況の管理、リスクの可視化・分析が行えるタイプ。運用負荷を抑えつつも、ダークウェブ上への情報流出対策を進めたい企業に適しています。
たとえば「Rapid7 MDR」は、アラートのカテゴリの幅が広く、「データ漏えい」「フィッシング」「ブランド侵害」など6種類を網羅。アラート時、管理画面を開くだけで自社にどんな種類の脅威が迫っているのかを即座に把握できます。
「ZERODARKWEB」は、ダッシュボードの機能が充実しています。たとえば画面には、監視対象である各従業員のアカウントが一覧表示され、いつ流出したかを確認可能。更に、早急な対処が必要なアカウントは、一覧画面の左側に危険度が高い値で表示されるため、対応の優先順位が付けやすいです。
「SMS DataTech ダークウェブアイ」のツールは日本製で、日本企業に関連する流出情報を中心に監視し、抽出してくれるのが強みです。サポートも日本語対応のため、初めてツールを導入する場合でも安心できます。
サービス提供担当者が、ダークウェブの監視を代行してくれるタイプ。運用リソースが限られており、監視業務そのものを任せたい企業のニーズに対応します。
「MBSD」の場合、独自のツールで監視を実施。ツールで抽出された脅威と考えられる情報は、同社の監視チームが誤検知の有無を精査するため、ノイズを抑えた精度の高い情報を入手できます。
サン電子株式会社の「ディープウェブ/ダークウェブ脅威インテリジェンスレポートサービス」は、子会社や取引先の情報資産の監視も任せられるため、関連会社起因でのインシデントに不安がある場合にもおすすめです。
パスワードの流出の監視に特化したタイプ。
たとえば、「Keeper BreachWatch for Business」でパスワードの流出が検知された際、パスワード自動生成機能により、推測が困難なパスワードに即時変更できます。また、インシデントが発生したら関連従業員のSlackやTeamsにも通知がいくよう設定できるので、アラートの見逃しリスクを抑えられるのもポイントです(エンタープライズ用プラン利用の場合)。
ダークウェブの監視を軸に、多様な脅威に対処できるサービスを紹介します。
(出所:Recorded Future公式Webサイト)
10年以上蓄積されたデータをもとに、自社の脅威となりうる情報を整理し提供するサービス。
誰でもアクセスできるWebサイトやSNS、掲示板など、100万を超えるソースから毎日5,000万件以上のデータを収集。ダークウェブ上の掲示板も常時250種類以上をチェックしている。
本サービスは9つのモジュールに分かれており、特にダークウェブ領域に関連するのが「Threat Intelligence」。収集情報から、流出した機密情報やブランドの毀損につながりうる情報を自動で識別。識別した脅威は自動でスコアリングを行う。
ほかにも、SIEMやSOARとの連携を円滑にする「SecOps Intelligence」や、子会社・取引先など関連会社を継続的に監視する「3rd Party Intelligence」などのモジュールを展開。自社が目指す体制に応じて、必要なモジュールを選べる。
(出所:FortiRecon公式Webサイト)
ダークウェブの監視・情報の収集・分析をはじめ、様々な角度でサイバー攻撃のリスクから企業を守るサービス。
主に3つの機能で構成されており、ダークウェブやオープンソースから脅威となる情報を探る「ACI」では、同社のリサーチャーがHUMINTを実施。ダークウェブ内でも特に見つけにくい招待制の掲示板で流通する情報も取得可能だ。
リサーチャーが自社の業界やニーズに合わせて、必要な情報をフィルタリングし提供するのも特色。たとえば金融機関であれば、社内ネットワークのVPNを狙った不正アクセスの兆候に関連する情報を重点的にピックアップ。顧客情報や内部機密が大量に流出するリスクを抑えられる。
ほかに、偽サイトやSNSでのなりすましを監視し、不正なサイトやアカウントの削除対策も支援する「BP」、管理が行き届いていない情報資産やネットワークの脆弱性を可視化する「EASM」により、セキュリティ体制を包括的に強化できる。
(出所:Deep & Dark Web Monitoring公式Webサイト)
ERMプラットフォームの一部として提供され、ダークウェブに加えてオープンソースも監視するサービス。「フィッシング」「未知のマルウェア」など、脅威のカテゴリ別にチューニングされたAIが、自社のリスクとなりうる流出データを網羅的に洗い出す。
また、同社の担当者がアバターに扮してダークウェブ上に入り込み、攻撃者と見られるターゲットに接触する手段・仮想HUMINTを採用。データを入手した経路や攻撃手法など、攻撃者しか知りえない情報を能動的に引き出す。
SIEMやSOARとの連携もスムーズ。たとえば脅威を検知後、SOARにデータを連携すれば、対処のアクションを自動化できる。別モジュールである脅威インテリジェンスを組み合わせれば、発生したインシデントに対処の優先順位を付けてSOARに送信可能。
運用負荷を抑えつつ、ダークウェブ上への情報流出対策を進められるサービスを紹介します。
(出所:Rapid7 MDR公式Webサイト)
登録したキーワードやアカウントデータをベースに、ダークウェブを含めたWeb上の情報をモニタリングし脅威情報を収集するサービス。
登録可能な情報は、会社ブランド名・ドメイン・IPアドレスなど様々。これらの情報を、AIと同社のアナリストがWeb上の情報と突き合わせ、自社に関連する脅威と判定した場合はアラートする。
アラートのカテゴリの幅が広く、「データ漏えい」「フィッシング」「ブランド侵害」など6種類を網羅。アラート時、管理画面を開くだけで自社にどんな種類の脅威が迫っているかを把握できる。
脅威の状況をまとめたレポートも、直感的なUIにより作成可能。レポートでまとめられる情報の一例は、各カテゴリのアラート発生件数や、フィッシング被害の発生日時・ソースを示したURLなど多岐にわたる。
そのほか、アラートで検出されたなりすましのSNSアカウント・Webサイト・アプリは管理画面上で削除依頼ができる。
(出所:SMS DataTech ダークウェブアイ公式Webサイト)
ダークウェブ上での情報探索をはじめ、脅威発見時のアラートや、脅威の傾向の分析まで完結するサービス。
日本製で、日本企業に関連する流出情報を中心に監視できるのが強み。画面の表示やサポートも日本語のため直感的に使いやすい。
従業員メールアドレス・ID・パスワードの流出が見られたら即座にアラート。同時に、そのアカウントを利用中の従業員にメールで自動通知し、パスワードの変更など必要な対応を促す。また、指定したキーワードがダークウェブを含むWeb上に流出していないかを検索する機能も実装。たとえばキーワードに「社外秘」を入れて検索すれば、機密情報の漏れを探知する体制が整う。
ダッシュボード上では、検出した脅威が自社に及ぼす影響度合いをパーセンテージで表示。過去に発生した脅威は「情報漏えい」「フィッシング」などカテゴリ別に集計され累計数も表示されるので、どの種類の脅威が多いか傾向を把握するのにも役立つ。
(出所:ZERODARKWEB公式Webサイト)
ダークウェブに流出した情報が及ぼす危険度を自動でスコア化し、優先対処すべき事案をツール上で示唆するサービス。
指定したドメインの漏えい有無を常に監視し、ダッシュボードでは、ドメインに紐づいた各従業員のアカウントの流出状況を一覧で確認可能。その中でも早急に対処すべき状態のアカウントは、一覧画面の左側に危険度が高い値で表示されるため優先順位が付けやすい。また、対処完了したアカウントは、処理日時が一覧画面の右側に表示されるため、どのアカウントが未対応かも直感的に把握できる。
ほかに、月ごとの流出被害の増減推移をグラフで表示する機能もあり、セキュリティシステムの導入前後の効果の比較に役立てられる。
数千件の流出情報の中から、今すぐ確認したい情報をソートできる機能も便利。たとえば、直近1週間に発生した危険度の高い事案を見たい場合、数回のクリック操作で該当情報を抽出できる。
ダークウェブの監視を代行してくれるサービスを紹介します。
(出所:MBSD公式Webサイト)
専門監視チームが、ダークウェブ上のID・パスワード情報や、保有するシステムの脆弱性情報の有無を監視するサービス。
独自のツールを含めた複数の手法を組み合わせ、企業名・サービス名などのキーワードに基づいて監視を行う。脅威と考えられる情報は、依頼企業へ通知前に監視チームが誤検知かを精査するため、ノイズのない正確な情報を受け取れるのが強みだ。
万が一サイバー攻撃に遭ってしまった場合、初動対応と原因調査をサポートするサービスも用意している。たとえばマルウェア被害の場合は、感染経路、被害状況の調査と駆除の支援を実施。調査後は、被害の詳細や恒久対策のアドバイスなどを書面にまとめたうえで提示する。
ほかにも、Webサイトの改ざんや内部犯行の調査など、多岐にわたるインシデント調査に対応してくれるのも嬉しい。
(出所:ディープウェブ/ダークウェブ脅威インテリジェンスレポートサービス公式Webサイト)
企業の情報資産を狙う脅威がディープウェブ・ダークウェブに表出していないかを24時間365日モニタリングするサービス。モニタリング対象となる情報資産には、ドメイン・IPアドレス・ファイル名などが含まれる。
子会社や取引先の情報資産も監視対象にできるため、目が行き届かなくなりがちなサプライチェーンに潜むリスクの早期発見が実現する。
モニタリング後に提出するレポートは、脅威インテリジェンス「Bitsight CTI」の出力結果に基づいて生成。脅威の深刻度に応じて対処の優先順位を付けたうえで、適切な対策案を提示する。ダークウェブ監視ツールの本格的な運用が、コストや人的リソースの観点で難しい企業にもおすすめだ。
最後にパスワードの流出を監視、検知するサービスを紹介します。
(出所:Keeper BreachWatch for Business公式Webサイト)
パスワードの漏えいに特化して、ダークウェブ上をモニタリングするサービス。同社のパスワード管理ツールのアドオン機能として提供している。
ダークウェブ上でのパスワード漏えいが確認されたら、そのパスワードを使っている従業員と管理者に同時アラート。従業員は、Keeper内のパスワード自動生成機能を使えば、推測が困難なパスワードに即時変更できる。ダッシュボードにも漏えいしたパスワードが一覧表示され、管理者は、別途従業員にパスワードの変更を促すメッセージをワンクリックで送れる。
エンタープライズ用プランを選択すれば、漏えいしたパスワードや漏えい元のデバイスなどの情報をSIEMに送信可能。SIEM側のデータと統合したレポートの作成がスムーズに行える。
インシデントが発生したらSlackやTeamsにも通知がいくよう設定できるので、アラートの見逃しリスクを抑えられるのもポイントだ。
ダークウェブ上では、日々企業の機密情報が不正に取引されています。これらの流出した情報をきっかけに、サイバー攻撃に遭うリスクもあるため、自社の情報が流出していないかの確認は不可欠です。しかし、自社のアカウントでダークウェブにアクセスしようとすると、そのアカウント自体が攻撃の標的となる可能性が高いです。
安全に対策を講じたいのであれば、ダークウェブ監視サービスを利用するのがおすすめです。従業員のID・パスワード・アカウント情報や、顧客情報など、自社の重要な情報が流出していないかを監視。流出が検知されたら即座にアラートするため、必要な対策を速やかに実行する体制が整います。
ダークウェブ監視サービスには、SIEM/SOARなど外部のシステムと連携してセキュリティ体制を強化できるタイプや、ツールの操作により効率的に対策できるタイプ、専門のセキュリティ部隊に監視を依頼できるタイプがあります。パスワードの流出監視に特化したツールもあるため、本記事を参考に、自社のニーズに合った最適なサービスを選んでみてください。
記事をシェア
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
資料ダウンロード用のURLを「asu-s@bluetone.co.jp」よりメールでお送りしています。
なお、まれに迷惑メールフォルダに入る場合があります。届かない場合は上記アドレスまでご連絡ください。
