その情報、外部公開で本当に大丈夫? NRIセキュアがASM(アタックサーフェス管理)サービスを提供開始:攻撃者目線で脆弱性を評価
NRIセキュアは「マネージドASMサービス」の提供を開始する。外部に公開されている企業のIT資産を探索し、検出したIT資産に対して攻撃者目線でリスクを評価する。
NRIセキュアテクノロジーズは2024年6月10日、「マネージドASMサービス」の提供を開始すると発表した。これは、外部に公開されている企業のIT資産を探索し、検出したIT資産に対して攻撃者目線でリスクを評価するサービスだ。
3つのステップでIT資産のリスクを評価
ASM(Attack Surface Management)とは、インターネットからアクセス可能な企業のIT資産を発見し、それらに存在する脆弱(ぜいじゃく)性などのリスクを継続的に検出、評価する一連のプロセスのこと。NRIセキュアテクノロジーズは「マネージドASMサービスによって、これまで把握できていなかったIT資産も含めて外部に公開されているIT資産を洗い出し、それらに内在する悪用可能な脆弱性の有無を明らかにすることで、リスク管理を高度化できる」としている。
マネージドASMサービスは「IT資産と脆弱性の検出」「脆弱性の多角的なリスク評価」「企業への通知とレポート」「推奨対策の助言」という4つの支援を一元的に提供する。同サービスは3つの段階を経て、リスクを評価する。
1段階目は、企業名やドメイン、IPアドレスなどを基に外部に公開しているIT資産の全体像を把握する。2段階目として、発見したIT資産の利用OSやソフトウェアのバージョン情報、公開ポート、利用可能な管理コンソールなどの外部公開サービスの情報を収集し、内在する脆弱性を検出する。3段階目は、2段階目で検出した脆弱性に対して、NRIセキュアのコンサルタントが「攻撃者の視点」で悪用しやすい脆弱性かどうかを多角的に判断してリスクを評価する。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「アタックサーフェス管理」とは、今日からできることは――日本ハッカー協会の杉浦氏が「OSINT」視点で考える
2024年3月4日、アイティメディアが主催するセミナー「ITmedia Security Week 2024 冬」における「アタックサーフェス管理」ゾーンで、日本ハッカー協会 代表理事 杉浦隆幸氏が「今日から始めるアタックサーフェス管理」と題して講演。日本ハッカー協会として「日本のハッカーが活躍できる社会を作る」べく活動する杉浦氏が、幅広いセキュリティ分野の中から「アタックサーフェス管理」をキーワードに、OSINT技術を通じてセキュリティ対策の根幹を語った。
「ソフトウェアはメモリ安全でなければならない」との声明を発表、米ホワイトハウス
米ホワイトハウスは、サイバー空間における攻撃対象領域を積極的に削減するよう技術コミュニティーに呼びかける報告書を発表した。ONCDは、IT企業がメモリ安全なプログラミング言語を採用することで、あらゆる種類の脆弱性がデジタルエコシステムに侵入するのを防ぐことができるとして、協力を呼びかけた。
サイバー攻撃者が狙う「アタックサーフェス」が増えた今、境界防御に加えて重視すべきこととは
2023年3月に開催された「ITmedia Security Week 2023 春」の「拡大するアタックサーフェス、“社内攻撃”を想定せよ」ゾーンにおいて、現役ペネトレーションテスターの上野宣氏が「拡大するアタックサーフェス、攻撃者は如何に侵入するのか」と題して講演した。