ASM (Attack Surface Management)
見えないリスクの可視化と先回りの対策を実現
ASMとは、組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス(※)です。組織が把握していない機器や設定ミスを攻撃者の視点から発見することも可能で、適切な対策を講じればサイバー攻撃の被害に遭うリスクを低減させられます。
※引用:経済産業省「ASM (Attack Surface Management)導入ガイダンス」
ASMのプロセス
- (1)攻撃面の発見
(企業が保有・管理するIPアドレスやホスト名など外部公開資産の洗い出し) - (2)攻撃面の情報収集
(OS、ソフトウェア、バージョン情報、オープンなポート番号などの取得) - (3)攻撃面のリスク評価
(収集した情報をもとにした脆弱性の洗い出しとリスク評価) - (4)リスクへの対応
(重要度に応じた対応方針の決定と対策の実施)
デジタル領域のASMは
重要度が増している
一般的にASMというと、社内ネットワーク上のPCやサーバーなど、内部IT資産を対象とするイメージが強いですが、近年では、社外向けのWebシステムやアプリケーションなど、デジタルサービス領域における重要性が高まっています。
・DX推進においてデジタルサービスは欠かせない
DXは、企業の競争力強化や市場での優位性維持に不可欠であり、多くの企業が業務効率化だけでなく、顧客接点のデジタル化を積極的に進めています。しかし一方で、増加するIT資産が新たなリスクとなりつつあります。
・デジタルサービス領域への攻撃が増えている
デジタルサービスの普及に伴い、サイバー攻撃も激増しています。WebサイトやWebサービスといった、外部公開されたシステムが標的となるケースも多く、これらのリスクに対応するためには、Webの攻撃面に対する対策の優先度を高める必要があります。
デジタル領域のASMにおいて
多くの企業が抱える課題
ASMツールを使用して自動調査を実施すると、他社情報が検出されるケースも多く、不要なデータの除外や精査に時間と手間を要します。
ASMにおける精査やリスク評価には専門知識が必要ですが、人材不足により調査・対処が遅れ、脆弱性の放置につながる恐れがあります。
デジタル領域のASMの課題は
生成AI活用が有効
従来のASMツールでは、大量に発見された情報から不要なデータを除外したり、リスク評価を行うのに多くの人手が必要で、なかなか取り組みづらいという課題がありました。しかし、生成AIを活用することで人手による確認作業を大幅に削減し、迅速かつ精度の高いリスク管理が可能になります。
AeyeScanのWeb-ASM機能なら
生成AIによる自動化で、今すぐ取り組めます
AeyeScanのWeb-ASM機能は、デジタルサービス領域の調査に特化しており、未把握のWebサイトやアプリケーションを効率的かつ継続的に発見できます。特許取得の実績もある生成AI活用の技術により、従来のASMの情報精査にかかる時間や、専門知識を持つ人材不足の問題を解決できます。
AeyeScanのWeb-ASM機能が
選ばれている
“理由”
未把握のWebサイトを効率的に発見
AeyeScanのWeb-ASM機能なら、特許取得の実績もある生成AI活用の技術により、効果的・網羅的に未把握の攻撃面を発見することができます。
AeyeScanのスキャンによるリスク評価と合わせて継続することで、デジタルサービス領域におけるWebサイト・Webアプリを対象としたASMの取り組みである、“Web-ASM”が実施可能に。
生成AIを活用したAeyeScan Web-ASM機能なら!
効率的かつ信頼性の高い探索が可能
- SSL証明書の情報やIR情報など、複数の情報源をもとに総合的に判定可能です。
- 生成AIが、検索結果に上がってきた組織名(文字列)を解読します。
Webサイトの重要度を自動で可視化
- 生成AIが、各Webサイトの属性(サイト用途、保持データなど)を自動判別します。
- 属性情報をもとに重要度を3段階でランク付け、判定理由と共に提示します。
