前回に引き続き、テルアビブで開催されたCyberTech2017のスタートアップパビリオンで見つけた面白そうな企業を紹介する。今回は「自己診断」という切り口のプロダクトを紹介したい。

日本でも多くの企業が、脆弱性診断やペネトレーション（侵入）テストといったセキュリティ診断サービスを提供している。お客様のシステム（OS、ミドルウェア、Webアプリケーション等）に対し、さまざまな疑似攻撃を試行することで、潜在的な脆弱性（セキュリティーホール）を発見し、対策の実施をうながすサービスだ。ヒアリング、試験、結果の分析と報告会という流れが一般的であり、一定の技術力とノウハウを必要とするコンサルティングサービスでもある（参考：調査・診断・コンサルティングサービスの例）。これを、メニューは限定的ながら、自分で診断が出来るクラウドサービス化したものが今回紹介する2社である

MazeBoltのDDoSテスト

MazeBoltは2013年9月に創業し、テルアビブに隣接したラマト・ガンという都市に本社がある企業である。Threat Assessment Platform（セキュリティ脅威診断プラットフォーム）を持ち、Vulnerability Scanning（脆弱性）, DDoS Testing（DDoS）, Phishing Simulation（フィッシングメール）の3つの脅威を診断する機能を提供している。私が注目したのは、このうちのDDoS Testingである。

DDoSとはDistributed Denial of Serviceの略称で、分散した攻撃元から数百Mbpsから場合によっては数十Gbps以上のパケットを送りつけ、ターゲットとするサーバーを過負荷状態にし、サービス不可能な状態にするものだ（参考）。これを防ぐためには、同一IPアドレスからの繰り返しのアクセスを防ぐ、とか、悪意のあるトラフィックのみを遮断する機器や負荷分散装置を導入する、などの対策を取らねばならない。

厄介なことに、Googleで検索すれば、booterまたはstresserと呼ばれるオンラインサービス事業者が簡単に見つかり、数十ドルのお金を支払えば、誰でもこのDDoS攻撃ができてしまう（booterの例）。彼等は、表向きは「自社サービスの負荷テスト用」とうたっているが、実際は悪意のある攻撃者向けなのだ。

今回紹介するMazeBoltも考えようによってはbooterと同じようなサービスだが、異なるのは世界中で契約している「正規のサーバー」から「管理された各種トラヒック」を発生させる点だ。これを利用して、自社のサイト、ネットワーク機器やサーバーがどれだけの負荷に耐えられるか、導入した負荷分散装置やDDoS攻撃対策製品が本当に攻撃に対して期待通りに機能するのか、などを評価することができる。「表向きは試験用」のサービスは多数あっても、「本当に正しく試験評価するためのツール」というのは、従来あまり聞いたことがなかったのである。

MazeBoltでは、レイヤー3、4、7の各種パケットデータ（図1参照）を発生させ、自社システムがその負荷に耐えられるか、正しく緩和できるかどうかを評価する。データのサイズも任意に設定でき、リアルタイムにモニタしながら、万が一システムに悪影響が出そうな場合は緊急でテストを中止することもできる。また、どの攻撃が成功し、どの攻撃が失敗したか、というレポートデータも提示する。

BaselineとAdvancedの2つのテストパッケージがあり、参考までにBaselineパッケージではどのような種類の攻撃がなされるのかを図に示す。

▼図1：MazeBoltのBaseline Testメニュー（VAR（販社）向け技術説明資料より転載）

DDoS攻撃は歴史も古く、対策機器、サービスも各種提供されている。しかし、その対策機器、サービスを導入していても、いざという時に本当に期待通りに機能するかどうか、を実際に検証している企業は少ないのではないだろうか。せっかく、最新の防御サービスを採用していたとしても、わずかな設定のミスで期待通りに機能しなかった、ということは十分あり得るのだ。

大多数の一般企業は、利用するISPやデータセンターの防御サービスに任せれば良いかもしれない。しかし、そのデータセンター自体、或いはオンラインバンキングやオンラインゲームなどのon premiseシステムを保有する事業者は、導入している対策が機能するかどうかを自ら確認する必要がある。それは、MazeBoltのようなサービスが出来て初めて可能になったとも言える。

Cymulateのシミュレーションサービス

Cymulateは2016年に創業したばかりの企業である。彼等のサービスは、SaaS based CyberAttack Simulationと言って、次の6種類のテストをすることができる。

▼図2：CyberAttack Simulationで行えるテストの概要

それぞれの機能詳細は省略するが、一般の企業で認識せねばならない脆弱性はほぼチェックできる。従来の脆弱性試験はむしろシステムテストに特化しているが、Cymulateの場合は電子メールやWebブラウジング、SOCのシミュレーションなど、実際的な業務プロセスも含んださまざまなベクトルでのサイバー攻撃をシミュレーションしている。これにより、企業のシステムだけではなく、業務プロセスや社員の意識が、サイバー攻撃に対処できる状態にあるかどうかをワンストップでテストすることができるパッケージである、という点が優れていると考える。

このサービスのもう一つの価値は、シミュレーションの結果が「リアルタイム」で得られる、という点にある。例えば既存の脆弱性試験では、報告書が納品されるのは、試験実施の2,3週間後、が一般的であり、そこで課題が見つかったとしても、対策の検討・実施にさらに数ヶ月を要した。一方、Cymulateでは試験結果がリアルタイムで得られるため、問題意識の高いまま対策へのアクションが取れるところに価値がある。

また、CyberTechの場で彼等が話していたアイデアによれば、サイバーセキュリティ保険への応用を考えているようだ。あまり日本では普及していないが、すでにサイバー攻撃による損害を包括的に保障する保険は存在する（例：東京海上日動　サイバーリスク保険）。現在、保険料は、保有しているデータの質・量やセキュリティ対策の整備度合いなどに応じて個別見積もりにとなるが、その根拠となるのは紙のアンケートに対する回答だ。

顧客企業の自己申告をベースにした評価・見積もりに比較して、セキュリティ管理状態をCymulateでより詳しく、かつリアルタイムに把握することができれば、保険料の見積もり精度も上がり、より納得感のある保険商品となる可能性がある。

今回取り上げた2社は、セキュリティのテスト、という切り口で見ればさほど新鮮味はないと思われるかもしれない。しかし、従来余り目にすることのなかったDDoSのテストが出来る、或いは、テスト結果をリアルタイムで出力できることで新たな応用先を考えている、という意味では、やはりイスラエルベンチャーの着眼点の良さを感じる例ではないだろうか。

【参照情報】
・MAZEBOLT
・Cymulate