セキュリティ診断

ASM・サイバーリスク可視化ツール リスクセンサー

公開されたIT資産から企業を守る“一歩先の”セキュリティ対策

サイバー攻撃者は、あなたの会社の“外から見える弱点”を常に探しています。

公開されたサーバやクラウド、ドメイン設定のわずかなミスも、攻撃者にとっては格好の標的となり、情報漏洩や業務停止といった深刻な被害につながります。
リスクセンサーは、外部に公開されたIT資産を攻撃者の視点で診断し“今まさに狙われているかもしれない弱点”をスコア形式で可視化し、優先的に対策すべき箇所を明確化します。
外部公開資産だけでなく、サプライチェーンに関連する公開資産、ダークウェブ上の漏洩兆候、脆弱性に関する簡易スキャンまでカバーし、専門家が総合的に分析します。

見えていないリスクを把握できるかどうかが、企業を守れるかどうかの分かれ道です。

リスクセンサーが求められる背景

サイバー攻撃は企業の“内部”だけでなく、インターネット上に公開されたWeb サーバ、クラウド、ドメイン、取引先の外部資産まで広がっています。攻撃者は、外部に公開されている資産を常に監視し、脆弱性が修正される前の“時間差”を狙って侵入する傾向があります。
そのため、自社だけでなくサプライチェーンの公開資産を把握していない状態は大きなリスクにつながります。

サイバー攻撃の対象は「社内システム」だけにとどまりません。 インターネット上に公開されているWebサーバ、クラウド環境、取引先の資産までもが攻撃の入口となり、被害が拡大するケースが増えています。

ASM(攻撃対象領域管理)とは

こうした状況を受け、経済産業省などでも注目されているのが ASM※(Attack Surface Management:攻撃対象領域管理) です。
ASMとは、インターネット上に公開されている「見える資産」を把握し、そこに潜むリスクを管理する考え方です。
経済産業省もガイドラインとして紹介しており、外部から得られる情報を基に公開資産の状態を把握する必要が示されています。

ASMの特長とイメージ

出典:経済産業省

リスクセンサーはASMの要素を含みつつ、それだけにとどまらず“より広い範囲”を対象としています。

製品概要

リスクセンサーは、社名やドメイン情報(グローバルIPを含む)を起点に、外部公開資産を自動調査するサービスです。
攻撃者目線でのリスク可視化に加えて、サプライチェーン、ダークウェブ、脆弱性に関する項目も調査範囲に含むため、企業の外側に潜むリスクをまとめて把握できます。
専門知識がなくても、経営層から情報システム担当まで、組織全体で課題共有が可能です。

リスクセンサーを構成する調査領域

リスクセンサーは、攻撃者が外部から得られる情報を基に、調査領域を組み合わせてリスクを可視化します。

・ ASM(外部公開資産の可視化)
公開されているサーバやクラウド、設定ミス、古いバージョンなどを洗い出します。

・ デジタルTPRM(サプライチェーン関連のリスク確認)
取引先や委託先の公開資産から見えるリスクを調査します。

・ ダークウェブ調査
認証情報や公開資産に関連する情報がダークウェブ上に出回っていないか確認します。

これらの調査結果をもとに、専門家が総合的に分析し、優先度や具体的な推奨対策をレポートとして提供します。

主な特徴

1. 攻撃者視点でのリスク診断

診断は実際の攻撃者が行う調査手法をベースにしています。
外部公開された資産や、設定ミス・古いバージョンのシステム・無防備なサービスなど、攻撃に利用されやすい箇所を特定します。
「攻撃者がどう見ているか」という視点から、潜在的なリスクを浮き彫りにします。

2. スコア形式のレポートでわかりやすい

診断結果は、リスクレベルをスコア化し、わかりやすいグラフや一覧で提示します。
IT担当者だけでなく、経営層や非技術部門にも共有しやすく、社内での意思決定や予算確保にも役立ちます。
さらに、改善すべき優先度も明示されるため、限られたリソースで効果的な対策が可能です。

3. 継続的な監視にも対応

単発診断だけでなく、月次や四半期単位での継続診断が可能です。
IT環境や外部脅威は常に変化しており、定期的な監視によって新たなリスクや再発を早期に発見!セキュリティの“見張り番”として機能します。

4. サプライチェーンリスクにも対応

自社だけでなく、取引先や委託先といった“サプライチェーン”に含まれる外部資産や潜在リスクも調査可能です。
こうした第三者経由での攻撃リスクは サードパーティリスク と呼ばれ、近年大きな脅威となっています。
リスクセンサーでは、このサードパーティリスクを含めた調査が可能であり、サプライチェーン全体の安全性を高めることにつながります。
この考え方は、TPRM(Third Party Risk Management) として国際的にも重要性が高まっている領域です。

主な診断範囲

  • ドメイン名やグローバルIPアドレスを起点とした外部公開資産の可視化
  • 公開サーバやクラウド環境に潜むリスクの調査
  • ダークウェブ上での情報漏洩兆候の確認
  • サプライチェーン(取引先や委託先)に関連する外部公開資産のリスク兆候の把握
    ※取引先や委託先そのものを直接接診断するのではなく、自社に関わる公開資産から見える範囲のリスクを可視化するものです。

導入事例

製造業

設計図が意図せず外部公開されていた事例を発見し、すぐに遮断。定期診断の導入で再発防止体制を構築。

eコマース

外部委託先の設定不備を特定し、委託先とのセキュリティ連携を強化。

導入の流れ(最短5営業日)

STEP1お申し込み(申込書・注文書)、STEP2スキャン実施(希望日に調整)、STEP3レポート納品(スコア形式)、STEP4ご請求

※ASM(Attack Surface Management:攻撃対象領域管理)

経済産業省が、サイバー攻撃から自社のIT資産を守るための手法として注目されている「ASM(Attack Surface Management)導入ガイダンスを発表

ガイダンスの背景と趣旨(抜粋)
デジタルトランスフォーメーション(DX:Digital Transformation)が進展する中、クラウド利用の拡大に加え、民間事業者が所有するIT資産が増加、点在するとともに、コロナ禍によるテレワークの拡大等を通じて、社会全体でリモート化が進められましたが、これらにより、サイバー攻撃の起点が増加している。
サイバー脅威に対して、自社が保有するIT資産を適切に管理しリスクを洗い出すことが求められますが、人手を介した管理の下では、システム管理部門の把握しきれないシステムが生じやすく、機器の実際の設定も見えづらいことなどから、自社の全てのIT資産を管理するのは容易ではない
外部(インターネット)から把握できる情報を用いてIT資産の適切な管理を可能とするツールやサービスを活用して、外部(インターネット)に公開されているサーバやネットワーク機器、IoT機器の情報を収集・分析することにより、不正侵入経路となりうるポイントを把握することが望まれる。

貴社の見えないリスクを可視化し、最適な対策をご提案します。まずはお気軽にお問合せください。

お問い合わせはこちら