●背景と課題

デジタルトランスフォーメーション（DX）が進展する中でのクラウド利用の拡大、新型コロナウイルス以降のリモートワークの導入など、外部に公開されるIT資産が急増し、サイバー攻撃のリスクも増大しています。実際に「未把握のVPN機器から侵入された」などの被害も多数報告されています。
経済産業省は、2023年5月にASM*2（Attack Surface Management）導入ガイダンス*3を発表し、情報システム部門が把握していないIT資産や予想外に公開されているIT資産の把握がWebセキュリティの観点から重要であることを指摘しました。
しかしながら、増加し続ける自社のIT資産を効果的に管理しリスクを把握することは、「IT資産管理の更新が追い付かない」「機器の設定を確認するには手間も時間もかかる」「海外拠点やグループ会社のIT資産も含めると膨大な量になる」といった理由から多くの企業にとって難題となっています。

SSTはこのような課題を解決すべく、当サービスの開発に至りました。
当サービスは、特にインターネットから攻撃可能な部分にフォーカスし、サイバー攻撃の入り口になりうる脅威をタイムリーかつ継続的に発見します。SSTは、2006年の創業以来、Webサイトに特化したセキュリティ専門企業として、多岐にわたるセキュリティ課題の解決に取り組んできました。これまでの脆弱性診断やクラウド型WAF「Scutum（スキュータム）」の運用によって培われた知見と技術をもって、Webサイトを運営する企業・団体に対して、より安全なWebサイト運営への貢献を目指します。

*1：EASM（External Attack Surface Management）：インターネットから攻撃可能な領域を管理するソリューションで、Webサーバ、ネットワーク機器、PCなどのエンドポイント端末、メール等のAttack Surfaceのなかでもインターネットから攻撃可能な部分に着目します。
*2：ASM（Attack Surface Management）：企業・組織に対して攻撃可能な領域の総称です。Webサーバー、ネットワーク機器、PCなどのエンドポイント端末、メールなど、対象は多岐にわたります。
*3：経済産業省「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」（https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)

● 当サービスについて

インターネットからアクセス可能なIT資産の情報を攻撃者視点で調査し、サイバー攻撃の入り口となりうる脅威をタイムリーかつ継続的に発見する国産EASMサービスです。

＜主な機能＞
1. アセット（IT資産）の発見：発見されたアセットを目的に合わせ表示（アセットディスカバリー）
2. Attack Surfaceの特定・可視化： 検出されたすべてのアセットと各シード毎の一覧表示
3. Attack Surfaceのリスク管理:：検出されたAttack Surfaceを脅威種別や対応状況の一覧表示、ベンダー情報へのリンク

※正式リリースでの提供機能となります。β版では、アセットの発見機能、Attack Surfaceの特定・可視化、Attack Surfaceのリスクスキャン機能までの提供となり、管理機能の提供はございません。

※画面イメージは開発中のものであり、実際のβ版で提供される画面と異なる場合があります

● 当サービスの特長

今回のβ版は、EASMサービスの試用およびサービスへのフィードバックにご協力いただける企業様向けに無償で提供いたします。β版では、アセットの発見、外部からの脅威を確認できる機能を無償でご利用いただけますので、現状の脅威の確認やEASMの必要性の検討にお役立ていただけます。

β版の提供概要
・期間：2023年10月26日(木)～正式版リリースまで(2024年1月予定)
・価格：無償
・ご利用方法：下記メールアドレスまでお問い合わせをください
・ご利用条件：β版ご利用中、もしくはご利用後に1時間程度のインタビューにご協力いただけること

正式版に向けた今後の展望
・定期スキャン機能
・ダッシュボード機能
・レポート出力機能

SSTでは、β版をご利用いただいた企業様からのフィードバックを今後の開発に反映し、2024年1月の正式版リリースを目指しております。

【本件に関するお問い合わせ】