安全なWebサイトを実現するために脆弱性診断とクラウド型WAFを提供する株式会社セキュアスカイ・テクノロジー(本社:東京都千代田区、代表取締役:大木 元 以下、SST)は、自社が保有するIT資産を適切に管理しリスクを把握することが困難な企業や組織に対して、いつでも簡単にセキュリティリスクを発見する国産EASM*1クラウドサービス「Dredger(ドレッジャー)」(以下、当サービス)を、2024年1月17日(水)に正式リリースいたしました。
サービス詳細ページ:https://www.securesky-tech.com/service/easm/
●背景と課題
デジタルトランスフォーメーション(DX)が進展する中でのクラウド利用の拡大、新型コロナウイルス以降のリモートワークの導入に伴う、VPN機器やリモートデスクトップ環境の整備など、外部に公開されるIT資産が急増し、サイバー攻撃のリスクも増大しています。
経済産業省は、2023年5月にASM*2(Attack Surface Management)導入ガイダンス*3を発表し、情報システム部門が把握していないIT資産や予想外に公開されているIT資産の把握が、今後情報漏えいのリスクを低減させる上でも重要と指摘をしました。実際に、情報システム部門の非管理ドメインからインシデントが発生した事例もガイダンス内で取り上げられています。しかし、多くの企業は、増加し続ける自組織のIT資産を効果的に管理しリスクを把握することが難しくなっており、「IT資産管理の更新が追い付かない」「機器の設定を確認するには手間も時間もかかる」「海外拠点やグループ会社のIT資産も含めると膨大な量になる」といった理由から、課題が浮き彫りになっています。
SSTはこのような課題を解決すべく、当サービスの開発に至りました。創業当初から提供している脆弱性診断やクラウド型WAFサービスは「存在を把握できているIT資産」に対するサービスです。一方で当サービスは「存在を把握できていないIT資産」に対してもアプローチし、タイムリーかつ継続的にサイバー攻撃の入り口となりうる脅威を発見し、セキュリティリスクを低減することを目的としています。これらのアプローチの組み合わせによって、SSTはWebサイトを運営する企業・団体に対して、より安全なWebサイト運営への貢献を目指します。
*1:EASM(External Attack Surface Management):インターネットから攻撃可能な領域を管理する技術やソリューションです。Attack SurfaceのなかでもWebサーバやネットワーク機器等のインターネットから攻撃可能な部分に着目します。経済産業省から発表されている「ASM(Attack Surface Management)導入ガイダンス」内では、 「ASM」と「EASM」は同じ意味として取り扱われています。
Attack Surface(アタックサーフェス):インターネットからサイバー攻撃を受ける可能性がある領域を指し「攻撃面」や「攻撃対象領域」などとも呼ばれます。Webサーバー、ネットワーク機器、PCなどのエンドポイント端末、メールなど、対象は多岐にわたります。
*2:ASM(Attack Surface Management):インターネットから攻撃可能な領域を把握し、それらに存在する脆弱性などのリスクを継続的に検出・評価する?連のプロセスを指します。
*3:経済産業省「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)
● 「国産EASMクラウドサービス「Dredger(ドレッジャー)」について
インターネットからアクセス可能なIT資産の情報を攻撃者視点で調査し、サイバー攻撃の入り口となりうるセキュリティリスクをタイムリーかつ継続的に発見するクラウド型の国産EASMサービスです。
サービス詳細ページ:https://www.securesky-tech.com/service/easm/
・アセット(IT資産)の発見
インターネットからアクセス可能なお客様のIT資産(以下、アセット)を探索、発見します。お客様が登録した「初期シード*4」を手がかりにします。
・リスクスキャン
アセットが持つセキュリティリスクを特定するためのスキャンを行い、リスクの危険度を評価します。
・アタックサーフェス(Attack Surface)の可視化・管理
ダッシュボードによる可視化、アセット及びアセットに存在するリスクの管理機能で、自組織に存在するアタックサーフェス(攻撃対象領域)の状況を簡単に把握し、必要な対処を検討することができます。
*4:「初期シード」:「Dredger」における「初期シード」とは、お客様の組織に関連があると思われるIT資産を見つけるための手がかりとして、お客様が保有しているドメインのうちトップレベルにあたるものです。サブドメインを除いたものを「初期シード」としてご登録いただきます。
サービス詳細ページ:https://www.securesky-tech.com/service/easm/
●背景と課題
デジタルトランスフォーメーション(DX)が進展する中でのクラウド利用の拡大、新型コロナウイルス以降のリモートワークの導入に伴う、VPN機器やリモートデスクトップ環境の整備など、外部に公開されるIT資産が急増し、サイバー攻撃のリスクも増大しています。
経済産業省は、2023年5月にASM*2(Attack Surface Management)導入ガイダンス*3を発表し、情報システム部門が把握していないIT資産や予想外に公開されているIT資産の把握が、今後情報漏えいのリスクを低減させる上でも重要と指摘をしました。実際に、情報システム部門の非管理ドメインからインシデントが発生した事例もガイダンス内で取り上げられています。しかし、多くの企業は、増加し続ける自組織のIT資産を効果的に管理しリスクを把握することが難しくなっており、「IT資産管理の更新が追い付かない」「機器の設定を確認するには手間も時間もかかる」「海外拠点やグループ会社のIT資産も含めると膨大な量になる」といった理由から、課題が浮き彫りになっています。
SSTはこのような課題を解決すべく、当サービスの開発に至りました。創業当初から提供している脆弱性診断やクラウド型WAFサービスは「存在を把握できているIT資産」に対するサービスです。一方で当サービスは「存在を把握できていないIT資産」に対してもアプローチし、タイムリーかつ継続的にサイバー攻撃の入り口となりうる脅威を発見し、セキュリティリスクを低減することを目的としています。これらのアプローチの組み合わせによって、SSTはWebサイトを運営する企業・団体に対して、より安全なWebサイト運営への貢献を目指します。
*1:EASM(External Attack Surface Management):インターネットから攻撃可能な領域を管理する技術やソリューションです。Attack SurfaceのなかでもWebサーバやネットワーク機器等のインターネットから攻撃可能な部分に着目します。経済産業省から発表されている「ASM(Attack Surface Management)導入ガイダンス」内では、 「ASM」と「EASM」は同じ意味として取り扱われています。
Attack Surface(アタックサーフェス):インターネットからサイバー攻撃を受ける可能性がある領域を指し「攻撃面」や「攻撃対象領域」などとも呼ばれます。Webサーバー、ネットワーク機器、PCなどのエンドポイント端末、メールなど、対象は多岐にわたります。
*2:ASM(Attack Surface Management):インターネットから攻撃可能な領域を把握し、それらに存在する脆弱性などのリスクを継続的に検出・評価する?連のプロセスを指します。
*3:経済産業省「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)
● 「国産EASMクラウドサービス「Dredger(ドレッジャー)」について
インターネットからアクセス可能なIT資産の情報を攻撃者視点で調査し、サイバー攻撃の入り口となりうるセキュリティリスクをタイムリーかつ継続的に発見するクラウド型の国産EASMサービスです。
サービス詳細ページ:https://www.securesky-tech.com/service/easm/
・アセット(IT資産)の発見
インターネットからアクセス可能なお客様のIT資産(以下、アセット)を探索、発見します。お客様が登録した「初期シード*4」を手がかりにします。
・リスクスキャン
アセットが持つセキュリティリスクを特定するためのスキャンを行い、リスクの危険度を評価します。
・アタックサーフェス(Attack Surface)の可視化・管理
ダッシュボードによる可視化、アセット及びアセットに存在するリスクの管理機能で、自組織に存在するアタックサーフェス(攻撃対象領域)の状況を簡単に把握し、必要な対処を検討することができます。
*4:「初期シード」:「Dredger」における「初期シード」とは、お客様の組織に関連があると思われるIT資産を見つけるための手がかりとして、お客様が保有しているドメインのうちトップレベルにあたるものです。サブドメインを除いたものを「初期シード」としてご登録いただきます。
● サービスの特長
特長1. 日本語でスムーズに操作できるシンプルな管理画面
特長2.月額15万円~とリーズナブルな料金体系で、わかりやすい価格設定
特長3.リスクスキャン対象選別アドバイスに加え、導入後の運用支援サポートを提供
● 料金体系
・基本料金:15万円 / 月
初期シードを10シードまで登録可能
・オプション 初期シードの追加:5万円 / 5シード
初期シードを追加される場合のオプション
● 正式リリースにおける追加機能
β版リリースから正式リリースまでに3つの機能アップデートを行いました。今後もご利用いただいているお客様の声を反映しながら追加機能をリリースします。
・リスク管理機能
組織内のIT資産のリスクを危険度順で表示し、脆弱性起点で「○○の脆弱性を受けるIT資産はどんなものがあるのか?」という検索も可能です。
・定期リスクスキャン
1日1回定期的・自動的にリスクスキャンを実施します。
・ダッシュボード画面
見つかったリスクの総数や緊急度の高いリスクを一画面で把握することが可能です。
● β版利用者様の声
「待望の純国産ASMサービスです。金額はお手頃な価格でありつつ、機能面でも満足しています。管理画面はシンプルで操作も簡単、スキャン結果も攻撃対象となり得る資産が可視化され、最優先で対応が必要な資産が一目瞭然です。不正侵入等のサイバー攻撃のリスクを低減するサービスとして活用しています。」
「直感的な操作性でセキュリティ担当者に負荷をかけることなく、迅速かつタイムリーに脅威を洗い出すことが出来る点がよいと感じました。脅威の可視化や優先度付け、安価な価格設定、対策の提案をワンストップで行うことが出来るダッシュボードの追加予定など、非常に魅力的なサービスであり、今後の本格展開を期待しています。」
「未把握のアセットを抽出できました。当社では所有ドメインが多いため、管理が楽になりそうです。あとはIPアドレス範囲指定でのアセット抽出ができたり、前回診断との差分確認ができるとなおよいです。脆弱性もある程度抽出されていますが、WordPressなどは今後追加されるとのことで、アップデートされていくことを期待しています。」
【株式会社セキュアスカイ・テクノロジー 会社概要】
SSTは「インターネットを安全にしたい」という想いを原点に、2006年に設立されたWebアプリケーションセキュリティの専門企業です。開発・運用の各フェーズに対して、セキュア設計・開発のための教育・支援サービス、脆弱性診断、クラウド型WAF「Scutum(スキュータム)」を中心にWebサイトの安全を一貫して守るWebセキュリティサービスを提供しています。
社名 :株式会社セキュアスカイ・テクノロジー
本社所在地 :東京都千代田区岩本町2-2-4 PMO神田岩本町II 10F
設立 :2006年3月
代表者 :代表取締役 大木 元
事業内容 :Webアプリケーションの脆弱性診断
クラウド型WAFサービス、セキュリティ教育・支援サービス、コンサルティング
URL :https://www.securesky-tech.com/
本社所在地 :東京都千代田区岩本町2-2-4 PMO神田岩本町II 10F
設立 :2006年3月
代表者 :代表取締役 大木 元
事業内容 :Webアプリケーションの脆弱性診断
クラウド型WAFサービス、セキュリティ教育・支援サービス、コンサルティング
URL :https://www.securesky-tech.com/
