【ASMの必要性】
クラウド利用の拡大、リモートワークの増加に伴い、組織のIT資産は増加すると同時にサイバー攻撃の起点も増加しています。サイバー攻撃対策にはIT資産を適切に管理し、リスクの洗い出しを行うことが必要です。しかし、クラウド利用の増加によってIT部門が把握していないクラウド利用が生じていたり、設定も見えづらいことから、全てのIT資産を管理するのは必ずしも容易ではありません。
このような背景からASM(Attack Surface Management)が注目されています。ASMは組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスです。経済産業省においても2023年5月にASMを自社のセキュリティ戦略に組み込んで適切に活用できるよう、ASMの基本的な考え方や特徴、留意点などの基本情報とともに取組事例などを紹介した、「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(※1)が公開されています。
【ASMチェックアップ無償分析サービス】
ASMチェックアップ無償分析サービスは組織のドメイン名を始めとする様々な公開情報から情報を収集(OS、ソフトウェアのバージョン、オープンなポート番号等)、既知の脆弱性情報と突合することにより、攻撃者視点でのリスクを探り出すサービスです。攻撃者はサイバー攻撃の初期段階として、公開されている情報やインターネットからアクセス可能なIT資産から得られる情報を用いて攻撃対象や攻撃手法を選定します。防御側が攻撃者と同じ視点でチェックすることで、IT部門の把握していないIT資産や、想定と異なる設定(外部からアクセスできないはずのサーバにアクセスできる等)のIT資産を発見し、被害が発生する前にIT資産の課題に気づくことができます。
ASMチェックアップ無償分析サービスを利用した組織には分析レポート(※2)の提供と報告会を実施します。報告会で詳しい説明を行うことによって、情報セキュリティ担当者が不在の組織においても自組織の問題点を理解することが可能となり、リスクへの対策を適切に講じることができるようになります。
アズジェントは、ASMチェックアップ無償分析サービスをはじめ、様々なセキュリティソリューションを提供することで、企業や組織のセキュリティ向上に貢献してまいります。
ASMチェックアップ無償分析サービス申込サイト (リンク »)
(1組織1ドメイン1回のみのサービスとなります。)
※1 経済産業省 「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました
(リンク »)
※2 レポートはIONIX社のツールを利用しています。
用語解説
ASM(Attack Surface Management):
外部から把握出来る情報を⽤いて⾃組織の IT 資産を発⾒し管理する取り組み
お問い合わせにつきましては発表元企業までお願いいたします。