ASMサービス「SIV-ASMサービス」ワンショット(単発)サービスあり
ASMで公開されているIT資産に存在する脆弱性・リスクを可視化。
月額サービスで継続して脆弱性を監視・分析・対処が可能。
また、低コストで自社のIT資産を把握するために
ワンショット(単発)サービスも利用可能です。
ASMのカバー領域
ASMでは広く浅く情報を収集するのが得意であり、脆弱性診断は狭く深くが得意な領域となっていますので、ASMで収集した情報の中から資産の重要度やビジネスリスクに応じて、脆弱性診断などでの深堀りを実施することがセキュリティ対策における大きな流れとなります。
当社ASMサービスの特徴
 |
|---|
台湾のサイバーセキュリティ企業が持つ情報源を活用することで、同じアジア地域における日本などへのサイバー攻撃情報もより多く取得・提供することができます。 |
 |
1ドメイン+50サブドメインを調査対象とし、月額サービスだけでなく単発サービスも提供することにより、中小企業が大きな費用をかけず俯瞰して自社の状況を知ることができます。 |
 |
SIVでは多角的なサービスを展開しており、脆弱性診断やペネトレーションテスト、SIEM構築~運用など、ASMで浮き彫りとなった脆弱性への対応、サイバーレジリエンスを高めるのに必要な「特定・防御・検知・対応・復旧」をご支援いたします。 |
ダークウェブから得られた調査結果も加えてリスクを評価
EASM のダークウェブインテリジェンスは、主に漏洩したアカウント資格情報の収集に重点を置いており、マルウェアの影響を受けた侵害されたマシンに関する情報も含まれています。
ASMサービス導入までの流れ
最初の準備期間のみお客様から情報をいただき、その後は弊社で調査~報告会の実施まで実施させていただきます。お客様に用意していただくのはドメインのみとなりますので、負荷も時間も最小限に留められます。
STEP1
【お客様】準備
お客様にて調査の起点となるドメイン・サブドメイン情報を準備いただく期間。
ドメインの準備以外にお客様に用意や回答していただく内容はございません。
STEP2
【セキュアイノベーション】調査
お客様より頂いたドメイン・サブドメイン情報を基にアタックサーフェス情報を収集する期間。
サーフェスウェブで取得できる情報だけでなく、ダークウェブ上で確認できる漏えい情報なども収集いたします。
STEP3
【セキュアイノベーション】精査
収集した情報の重大度やリスクを確認し、誤った情報が含まれていないか等を精査する期間。
弊社の基準にて誤情報などの精査を実施し、注力すべき情報をまとめあげます。
STEP4
【セキュアイノベーション】作成
精査した情報をレポート形式に仕上げる期間。
後々、お客様の方で情報を活用しやすいようにHTML形式、CSV形式で報告書を作成いたします。
STEP5
【セキュアイノベーション】報告
報告書を用いてお客様へ報告する期間。
報告会を通して疑問点や次に実施すべきアクションなどを補足させていただきます。
ASMサービスに関する参考ガイド
ASMとは、組織が外部に公開しているドメインやIP、クラウド資産など、公開されている全IT資産を自動で洗い出し、継続監視して脆弱性・リスクを可視化する取り組みです。
攻撃者視点で露出範囲を定量評価し、シャドーITや設定漏れを発見して、攻撃面を最
小化ながら迅速な対策と監査・規制対応を支援します。
外部に公開されている(外部からアクセスできる)IT資産を把握し、攻撃を受ける可能性のある脆弱性を監視・分析・対処・管理するプロセスです。
クラウドやWebアプリ、API、サードパーティ連携などにより外部公開資産は増加し、攻撃対象領域も拡大しています。EASMは攻撃者視点で外部からスキャンし、未登録のサブドメイン、古いシステム、誤設定されたクラウド、漏洩した認証情報などを検出。ゼロデイ脆弱性やシャドーITによるリスクを早期発見し、既存の脆弱性管理を補完しつつセキュリティ強化に繋がります。
ASMと脆弱性診断は、どちらもセキュリティ強化のためのアプローチですが、目的や範囲、実施方法が異なります。
ASMは、組織が外部や内部に持つあらゆる資産(IPアドレス、ドメイン、Webアプリ、クラウド環境、APIなど)を継続的に発見・監視し、「どこが攻撃対象になり得るか」を把握することが主眼です。特にシャドーITや管理されていない公開資産の検出など、資産の棚卸しと露出状況の把握に強みがあります。
一方、脆弱性診断は特定の範囲やシステムを対象に、既知の脆弱性や設定ミスを検出する行為で、診断時点での安全性を評価します。
ASMは広義的な視点で「攻撃対象の全体像」を管理し、脆弱性診断はその一部を深く掘り下げるイメージです。両者を組み合わせることで、資産の漏れを防ぎつつ、特定資産の脆弱性を詳細に検査するという、より堅牢なセキュリティ態勢を構築できます。
ASMが必要とされる背景には、IT環境の複雑化と資産の可視性低下があります。クラウドサービス、Webアプリケーション、モバイル、API、リモートワーク環境、さらにはサードパーティとの接続により、組織が外部に公開する資産は急増しています。
その一方で、すべての資産が必ずしもセキュリティ部門の管理下にあるとは限らず、シャドーITや未登録のサブドメイン、古いシステムなどが放置されるケースも少なくありません。
攻撃者はこうした盲点を狙い、ゼロデイ脆弱性や設定ミスを突いて侵入します。ASMは攻撃者視点で継続的に外部から資産を探索・監視し、潜在的なリスクを早期に発見します。
これにより、従来の脆弱性管理や年数回の診断では見逃されがちな資産やリスクを把握し、被害を未然に防ぐことができます。現代のセキュリティ対策において、ASMは資産管理と脅威発見の両面から重要な役割を担っています。
ASMは、基本的に継続的かつ自動的に実行することが理想です。理由は、現代のIT環境では資産の追加・変更・公開が日常的に発生し、そのたびに攻撃対象領域が変化するためです。
クラウドの設定変更や新しいWebサービスの公開、サードパーティとの接続などは、時にはセキュリティ部門が知らないうちに行われることもあります。もし年数回や四半期ごとの断続的な実施にとどめると、その間に露出した資産や設定ミスが放置され、攻撃者に先行されるリスクが高まります。
そのため、ASMは週単位や月単位ではなく、できる限りリアルタイムに近い監視が望ましいとされています。実務上は、専用のASMツールを用いて自動スキャンとアラートを常時稼働させ、重要な変化があれば即座に調査・対応する体制を構築することが推奨されます。
とはいえ、リアルタイムで監視、運用するためには費用やリソース等の負担も少なくありません。当社はどのようなパターンでも対応できるよう、リアルタイム性のあるご提案、またはワンショット(単発)でもご案内できるようプランを用意していますので、お気軽にご連絡ください。
ASMの結果は、「見つかった事実を整理して終わり」ではなく、資産管理・リスク評価・対策優先度付けのサイクルに組み込み、継続的に活用することが重要です。
一般的に言われている活用方法は以下のとおりです。
・資産台帳の更新
ASM結果で発見した新規・未登録の資産(ドメイン、サーバ、クラウド環境など)を資産台帳に反映します。これにより「何が、どこに、誰の管理で存在するか」を明確化できます。
・リスク評価と優先度決定
検出された資産ごとに、脆弱性の有無、公開範囲、業務重要度などを評価し、対応の優先順位を決めます。影響度の高い資産やインターネット直結のものから対応するのが基本です。
・即時対応と恒久対策
高リスクな設定ミスや脆弱性が見つかった場合は、迅速な修正(パッチ適用、アクセス制限、設定変更など)を行い、その原因が再発しないよう恒久的な運用ルールやチェック体制を整えます。
・他セキュリティ施策との連携
脆弱性診断やSOC、脅威インテリジェンスと連携することで、ASM結果をより精緻な脅威分析や監視に活かせます。
ASMの結果は、組織全体のセキュリティPDCAに組み込むことで、最大限の効果を発揮します。
セキュアイノベーション サービス一覧
