ASM (Attack Surface Management)
見えないリスクの可視化と先回りの対策を実現
ASMとは、組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス(※)です。組織が把握していない機器や設定ミスを攻撃者の視点から発見することも可能で、適切な対策を講じればサイバー攻撃の被害に遭うリスクを低減させられます。
※引用:経済産業省「ASM (Attack Surface Management)導入ガイダンス」
ASMのプロセス
- (1)攻撃面の発見
(企業が保有・管理するIPアドレスやホスト名など外部公開資産の洗い出し) - (2)攻撃面の情報収集
(OS、ソフトウェア、バージョン情報、オープンなポート番号などの取得) - (3)攻撃面のリスク評価
(収集した情報をもとにした脆弱性の洗い出しとリスク評価) - (4)リスクへの対応
(重要度に応じた対応方針の決定と対策の実施)
デジタル領域のASMは
重要度が増している
一般的にASMというと、社内ネットワーク上のPCやサーバーなど、内部IT資産を対象とするイメージが強いですが、近年では、社外向けのWebシステムやアプリケーションなど、デジタルサービス領域における重要性が高まっています。
・DX推進においてデジタルサービスは欠かせない
DXは、企業の競争力強化や市場での優位性維持に不可欠であり、多くの企業が業務効率化だけでなく、顧客接点のデジタル化を積極的に進めています。しかし一方で、増加するIT資産が新たなリスクとなりつつあります。
・デジタルサービス領域への攻撃が増えている
デジタルサービスの普及に伴い、サイバー攻撃も激増しています。WebサイトやWebサービスといった、外部公開されたシステムが標的となるケースも多く、これらのリスクに対応するためには、Webの攻撃面に対する対策の優先度を高める必要があります。
デジタル領域のASMにおいて
多くの企業が抱える課題
ASMツールを使用して自動調査を実施すると、他社情報が検出されるケースも多く、不要なデータの除外や精査に時間と手間を要します。
ASMにおける精査やリスク評価には専門知識が必要ですが、人材不足により調査・対処が遅れ、脆弱性の放置につながる恐れがあります。
デジタル領域のASMの課題は
生成AI活用が有効
従来のASMツールでは、大量に発見された情報から不要なデータを除外したり、リスク評価を行うのに多くの人手が必要で、なかなか取り組みづらいという課題がありました。しかし、生成AIを活用することで人手による確認作業を大幅に削減し、迅速かつ精度の高いリスク管理が可能になります。
AeyeScanのWeb-ASM機能なら
生成AIによる自動化で、今すぐ取り組めます
AeyeScanのWeb-ASM機能は、デジタルサービス領域の調査に特化しており、未把握のWebサイトやアプリケーションを効率的かつ継続的に発見できます。特許取得の実績もある生成AI活用の技術により、従来のASMの情報精査にかかる時間や、専門知識を持つ人材不足の問題を解決できます。
AeyeScanのWeb-ASM機能が
選ばれている
“理由”
未把握のWebサイトを効率的に発見
AeyeScanのWeb-ASM機能なら、特許取得の実績もある生成AI活用の技術により、効果的・網羅的に未把握の攻撃面を発見することができます。
AeyeScanのスキャンによるリスク評価と合わせて継続することで、デジタルサービス領域におけるWebサイト・Webアプリを対象としたASMの取り組みである、“Web-ASM”が実施可能に。
生成AIを活用したAeyeScan Web-ASM機能なら!
効率的かつ信頼性の高い探索が可能
- SSL証明書の情報やIR情報など、複数の情報源をもとに総合的に判定可能です。
- 生成AIが、検索結果に上がってきた組織名(文字列)を解読します。
検出した“Web資産の重要度”と“リスクの深刻度”を自動で可視化
- 検出したWeb資産に対して、トリアージ(対応の優先順位付け)に必要な情報を自動判別し、提示します。
- 生成AIを活用し、判定理由や悪用が観測された脆弱性の内容を日本語でわかりやすく解説します。
FAQ
-
料金の目安について教えてください
お客様の用途やサイト数などに応じて個別にお見積りいたします。
最適なプランをご提案いたしますので、まずは「お問い合わせフォーム」より、お気軽にご相談ください。 -
どのような導入形態がありますか?
AeyeScanはクラウド上で提供されるSaaS形式です。専用サーバーの構築やソフトウェアのインストールは不要で、ブラウザからログインするだけで即座に診断を開始できます。
-
第三者保証の取得状況やセキュリティ体制について教えてください
ISO 27001およびISO 27017の認証を取得しており、国際基準に準拠した厳格な情報管理体制を構築しています。詳細は「会社概要」をご覧ください。
技術面では、お客様データの保護において通信・保存時の暗号化を徹底しているほか、開発プロセスでもセキュリティガイドラインに沿ったレビューを実施したうえで、定期的に脆弱性診断を行っています。
-
他社のASMツールと何が違うのですか?
AeyeScanのWeb-ASMは、デジタルサービス領域の調査に特化し、生成AIによる「精度の高い探索」と「トリアージ支援」を両立している点が最大の違いです。
主な特長は以下の通りです。
①生成AIによる信頼性の高い探索
SSL証明書の情報やIR情報など、複数の情報源をもとに総合的に判定可能です。生成AIが、検索結果に上がってきた組織名(文字列)を解読します。②資産の重要度とリスクを自動で可視化
単にWeb資産を見つけるだけでなく、そのWeb資産自体の重要度とリスクの深刻度を掛け合わせて自動で可視化。対応の優先順位付け(トリアージ)に必要な情報を自動で提示します。③生成AIによる「日本語」の判定解説
判定の理由や、実際に悪用が観測された脆弱性の内容を、生成AIが専門用語を抑えた日本語で分かりやすく解説します。 -
自社の判断基準と、Web-ASMの自動判定はどう使い分けたらいいですか?
「判断そのもの」ではなく、判断のための「下調べ」をAeyeScan Web-ASM機能にお任せいただく使い分けが、最も効率的です。
一つずつ情報を収集し、精査する手間を大幅に削減いただけます。
また、AeyeCopilotでは、お手持ちのガイドライン文書をAIが直接解読して対応方針を自動で設定し、その後の脆弱性管理に繋げる機能もご用意しております。他社様での具体的な活用事例なども交え、お客様の運用フローに合わせた最適な活用方法をご提案いたしますので、詳細につきましては、「お問い合わせフォーム」よりお気軽にご相談ください。
