NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は、企業のIT資産に対して、サイバー攻撃の起点となりうる攻撃対象領域[i]を幅広く把握し、継続的にリスクを監視・管理するASM(Attack Surface Management)[ii]ソリューション「ASMimosa(エーエスミモザ)」(以下、本サービス)を本日、提供開始します。本サービスは、生成AIを活用した高精度な分析で誤検知を抑え、見落とされがちなIT資産についても自動で検出することで、セキュリティ担当者の作業負荷を軽減します。
近年、ランサムウェアやサプライチェーン攻撃など、サイバー脅威が深刻化する中、クラウドやテレワーク環境の普及により企業のIT資産が急増し、管理の難易度が高まっています。これにより、見落とされた脆弱性や設定不備が侵入・情報漏えいのリスクを高め、事業継続や経営に支障が発生するケースも出てきています。そのため、攻撃対象領域の可視化と継続的な監視が企業にとって急務となっており、ASMツールを導入する企業が増えています。しかしながら、誤検知や検出資産の管理者不明などにより対応が困難なケースも多く、確認作業や報告書作成に多くの工数がかかることが課題です。
◆本サービスの概要と特長
これらの課題を踏まえ、NRIセキュアはセキュリティ担当者に「やさしい」をコンセプトとして、本サービスを自社開発しました。本サービスは、企業のIT部門が把握しているかどうかにかかわらず、自社のIT資産を探索し、それらのリスク評価・分析を行い、その結果を報告します(図1を参照)。さまざまな作業工程において、セキュリティ担当者の負荷に配慮した設計になっていることが特長です。
図1:ASMimosaの対応範囲
本サービスでは、以下の3点を実施します。
1.IT資産の探索・判定
NRIセキュアが15年以上かけて培った独自の探索手法[iii]と、生成AIを用いた資産判定の工程を繰り返し実施すること[iv]で、手作業では見つけにくいIT資産を含めて多くの資産候補を検出します(図2を参照)。一般的なASMサービスにありがちな誤検知を抑えることができるほか、管理者が不明のIT資産が見つかった場合も、関連性の深い組織を自動的に予測するため、セキュリティ担当者が管理者を調べる手間の軽減を図ることができます。
図2:ASMimosaの探索・判定の仕組み
2.評価・分析
探索した資産について、外部から調査可能な範囲でセキュリティリスクなどを評価・分析します。実施にあたっては、株式会社ユービーセキュアが開発・提供する、クラウド型Webアプリケーション診断ツール「VexCloud」[v]を使用します。これにより、対象システムに負荷を与えることなく正常アクセスの範囲で評価します(図1を参照)。
3.報告
IT資産の一覧と、評価・分析の結果から推奨される対策を盛り込んだレポートを提出します。レポートは3種類あり、経営層、全体管理者、現場担当者への報告対象ごとに分析項目を変えて作成します。専門知識がなくても分かりやすい内容で、経営層への報告や現場への依頼にもそのまま活用できるので、社内コミュニケーションの負荷を軽減することができます。
本サービスは、2026年度以降には、疑似攻撃によってより具体的なリスクも評価・分析できるように機能を高度化する予定です(図1を参照)。また、関連会社ごとに傾向を分析したレポートの提出や、ダッシュボード機能の拡充なども予定しており、使いやすさのさらなる向上を目指していきます。
本サービスの詳細については、次のWebサイトをご参照ください。
(リンク »)
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp
◆本サービスの概要と特長
これらの課題を踏まえ、NRIセキュアはセキュリティ担当者に「やさしい」をコンセプトとして、本サービスを自社開発しました。本サービスは、企業のIT部門が把握しているかどうかにかかわらず、自社のIT資産を探索し、それらのリスク評価・分析を行い、その結果を報告します(図1を参照)。さまざまな作業工程において、セキュリティ担当者の負荷に配慮した設計になっていることが特長です。
図1:ASMimosaの対応範囲
本サービスでは、以下の3点を実施します。
1.IT資産の探索・判定
NRIセキュアが15年以上かけて培った独自の探索手法[iii]と、生成AIを用いた資産判定の工程を繰り返し実施すること[iv]で、手作業では見つけにくいIT資産を含めて多くの資産候補を検出します(図2を参照)。一般的なASMサービスにありがちな誤検知を抑えることができるほか、管理者が不明のIT資産が見つかった場合も、関連性の深い組織を自動的に予測するため、セキュリティ担当者が管理者を調べる手間の軽減を図ることができます。
図2:ASMimosaの探索・判定の仕組み
2.評価・分析
探索した資産について、外部から調査可能な範囲でセキュリティリスクなどを評価・分析します。実施にあたっては、株式会社ユービーセキュアが開発・提供する、クラウド型Webアプリケーション診断ツール「VexCloud」[v]を使用します。これにより、対象システムに負荷を与えることなく正常アクセスの範囲で評価します(図1を参照)。
3.報告
IT資産の一覧と、評価・分析の結果から推奨される対策を盛り込んだレポートを提出します。レポートは3種類あり、経営層、全体管理者、現場担当者への報告対象ごとに分析項目を変えて作成します。専門知識がなくても分かりやすい内容で、経営層への報告や現場への依頼にもそのまま活用できるので、社内コミュニケーションの負荷を軽減することができます。
本サービスは、2026年度以降には、疑似攻撃によってより具体的なリスクも評価・分析できるように機能を高度化する予定です(図1を参照)。また、関連会社ごとに傾向を分析したレポートの提出や、ダッシュボード機能の拡充なども予定しており、使いやすさのさらなる向上を目指していきます。
本サービスの詳細については、次のWebサイトをご参照ください。
(リンク »)
NRIセキュアは今後も、企業・組織の情報セキュリティ対策を支援するさまざまな製品・サービスを提供し、安全・安心な情報システム環境と社会の実現に貢献していきます。
ニュースに関するお問い合わせ
NRIセキュアテクノロジーズ株式会社 広報担当
E-mail:info@nri-secure.co.jp
このプレスリリースの付帯情報
ASMimosaの対応範囲 用語解説
[i] 攻撃対象領域(Attack Surface):攻撃者がシステムに侵入したり、悪用したりするために利用できる、インターネット上のすべてのポイントや経路のことです。
[ii] ASM(Attack Surface Management):インターネット上からアクセス可能なIT資産を見つけ、その資産に存在するセキュリティリスクを継続的に検出・評価する取り組みです。その取り組みをサポートするツールがASMツールと呼ばれています。
[iii] 特許取得済。
[iv] 特許取得済。
[v] クラウド型Webアプリケーション診断ツール「VexCloud」:Webアプリケーションの脆弱性を自動検査するツールです。Webブラウザだけで簡単に利用でき、専門知識がなくても効果的な診断を行えることから、システム開発・運用の現場で広く活用されています。詳細は次のWebサイトをご参照ください。 (リンク »)
本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。
お問い合わせにつきましては発表元企業までお願いいたします。
