アタックサーフェス調査サービスは、攻撃者の視点でインターネットからアクセス可能なIT資産(アタックサーフェス)や外部に拡散された情報を分析し、攻撃に利用される可能性のある経路や手法を評価することで、潜在的なリスクや侵入口を可視化するセキュリティ調査サービスです。
セキュアスカイが提供している脆弱性診断やWAFといったセキュリティサービスは、あくまで “存在を把握できているIT資産” を守ることを目的としています。しかし、攻撃者は “存在を把握できていない外部に公開しているIT資産” を探し出し侵入経路を見つけ、初期アクセスの足がかりとするケースが増えています。
アタックサーフェス調査サービスは、日々変化するIT資産を網羅的かつ継続的に可視化する国産EASM*サービス「Dredger(ドレッジャー)」のアプローチに加え、専門家が人手で分析し、実際に悪用される可能性のあるリスクや侵入経路を明確にします。
下記のような課題を抱えるお客様に最適なサービスです。
- DXやリモートワークの推進により増え続けるIT資産の把握・管理に不安や限界を感じている
- 自組織の抱えるセキュリティリスクを外部からの客観的に評価・可視化したい
- グループ会社・海外拠点のセキュリティ状況を外部から確認したい
- 情報漏えいや設定不備を定期的に調査したい
* EASM(External Attack Surface Management)は、インターネットから攻撃可能な領域を管理するソリューションで、Webサーバ、ネットワーク機器、PCなどのエンドポイント端末、メール等のAttack Surfaceのなかでもインターネットから攻撃可能な部分に着目します。「ASM」と「EASM」は同じ意味として取り扱っています。
サービス内容
インターネットからアクセス可能なIT資産や外部に拡散された情報を、攻撃者視点で専門家が分析します。リスクを可視化・評価するとともに、攻撃者が利用し得る初期アクセス手法やその経路の可能性を調査します。
主な調査項目
| 開発環境・テスト用等未把握のサイト | 公開情報から運用ドメインを収集し、未把握のサイトやテストサイトなど、管理が行き届いていないドメインを見つけ出します。 |
|---|---|
| リークサイトに登録されている公開脆弱性 | リークサイトなどから、お客様のドメインに関する既知の脆弱性情報が公開されていないかを調査します。 |
| 外部に漏洩している従業員情報(Email等) | 公開されている従業員や部署のメールアドレスを収集し、過去の情報漏洩から悪用されるリスクがないか調査します。 |
| フィッシングと疑われるドメイン | 自社ドメインに類似した悪意あるドメイン(フィッシングサイト等)の有無を調査します。 |
| 外部に漏洩している認証情報・クレデンシャル | 検索エンジン等を調査し、認証情報やAPIキーなどの、重要情報が意図せず公開されていないかを調査します。 |
ご利用の流れ
1. お申込み
お申し込み書に必要事項をご記入のうえ、お申し込みいただきます
2. ヒアリング
お客様の状況や調査の目的などについてヒアリングを行います
3. 調査実施
ヒアリング内容をもとに、インターネット上で公開されているIT資産とリスクを調査します
4. 報告・報告会
発見したセキュリティリスクの概要や総評をまとめた報告書を作成し、報告会(有償)を実施します
サービス料金
| 基本料金 | 60万円 ・1トップレベルドメイン (報告書作成含む) |
|---|---|
| 特別基本料金 (※1) | 国産ASM/EASM「Dredger(ドレッジャー)」ご契約企業様限定 40万円 ・1トップレベルドメイン (報告書作成含む) |
| 追加料金 | 20万円/1トップレベルドメイン |
| 報告会 | 15万円/回 |
- 表示価格はすべて税抜価格です。
- トップレベルドメインに紐づくサブドメインが大量(250程度)に発見された場合、別途費用が発生する場合がございます。
(※1) 国産ASM/EASM「Dredger(ドレッジャー)」をご契約中の特別価格は、最低利用期間は6か月以上の制限がございます。
調査報告書
調査報告書は、発見したセキュリティリスクの概要や総評をまとめています。また、調査結果の詳細として、ドメイン一覧や脆弱性一覧など、発見されたリスクの情報も提供します。
自社のセキュリティリスクを把握し、改修対応や今後の対策・優先度を検討する際にご活用いただけます。
