サイバーセキュリティの脆弱性診断は、システムの人間ドックです。
人で言う定期健康診断が、システムで言う脆弱性診断にあたります。
健康診断では、最初から特定した精密検査を行うことはありません。同様に、システム全体での脆弱性を発見するために、まずは脆弱性診断を行います。
例えば、「UTMを導入したからセキュリティは完璧」という考え方は、健康診断において「胃カメラだけを受けた」と同じです。胃カメラだけの診断では、健康全般を把握することはできませんし、同様にUTMだけの導入では、システムの脆弱性を見逃してしまう可能性があります。
脆弱性診断を実施することで、システムの弱点を特定し、優先度の高い対策から実施していくことがサイバー攻撃への防御対策です。また、定期的な脆弱性診断を行うことで、ゼロデイ攻撃にも対応できる、健全なシステムを維持することが可能です。
脆弱性診断の実施手順
下記のように、脆弱性診断は2項目で構成されています。
ASM
(Attack Surface Management)
= パッシブスキャン
※野良端末チェック(全サブドメイン洗出)(パケット・トレーサー)(DNS/Whois)
※ドメイン漏洩
※各脆弱性分野診断(CVE含む、6分野:実際のデータ書込は行わない)
ペネトレーション
テスト
= アクティブスキャン
※IPアドレス基軸で全端末の診断
※実際の書込み深刻度を実測 → 各脆弱性分野診断(CVE含む、6分野:実際のデータ書込を行います。)
『ASM』と『ペネトレーションテスト』のイメージ
日本の多くの公共施設、特に重要インフラ事業者でも、脆弱性診断(特にASM)が適切に実施されていない場合があります。
現状では、野良サーバの存在や多くの CVSS 緊急・重要項目が放置されていることが報告されています。
ハッカーは、攻撃対象のサイトを決定する際に、まずアタック・サーフェス・マネジメント(ASM)で脆弱性診断を行います。ASM 診断が十分でないドメインほど、乗っ取りが容易になります。そのため、脆弱性診断の実施が不十分な状況では、サイバー攻撃に対するリスクが高まります。
サイバーセキュリティ研修群とセキュリティ強化の支援サポート
弊社は、サイバーセキュリティ業務を完全サポートいたします。手厚い研修と脆弱性診断後のシステム改修作業の支援で、貴社のセキュリティを確実に強化します。支援費用は月額35時間から始められ、いつでも1ヵ月前の通知で終了可能ですので、費用面でも安心してご利用いただけます。
まずは、世界のサイバーセキュリティ業務の教科書であるNIST CSF(米国国立標準研究所のCyber Security Framework)を学習し、各省庁や団体が提供するガイドラインの目的と活用方法を習得します。その後、研修を通じて、貴社の業務定義に基づいたサイバーセキュリティ業務を実践していきます。
技術編では、一般的な脆弱性に対する対策方法を習得します。また、AEGIS-EWの脆弱性診断結果に基づいて、貴社システムのセキュリティ対策を安心してサポートいたします。
サイバーセキュリティ業務支援
特定業種向け
一般業種向け
未知の脅威から守る新たなる盾。次世代ASM(パッシブスキャン)ツール『AEGIS-EW(イージスEW)』
「AEGIS-EW」は、サイバーセキュリティの専門的な知識を持たない方でも、ひと目で脆弱性が判断できます。
世界標準であるCVSSに応じた深刻度を「深刻度1:赤(至急:対策が直ぐに必要)」
「深刻度2:オレンジ(重要:対策が必要)」のようにビジュアル化し直感的なUIを提供します。
「AEGIS-EW(イージス EW)」は、「脆弱性診断漏れ」を防ぐASM(Attack Surface Management)のパッシブスキャン(Passive Scan)と呼ばれるサーバ調査方法により、メインドメインに関連する「すべてのサブドメイン」を洗い出します。
これにより、管理者さえも認知していない「放置サーバ(野良サーバ)」の発見を手助けします。これらの機能が、サイバー先進国で高く評価され「公共系システム納品時のサイバー対策処置済みであることの証明」としての活用もされています。
機能紹介ムービー(英語版)※音声が出ます
【新キャンペーン】公共施設向けのキャンペーンを拡大しました。
これまで、公共施設向けのサイトを対象に、AEGIS-EW(イージスEW)無料ASM脆弱性診断キャンペーンを行ってきましたが、
今回は公共施設だけでなく、一般企業や団体の皆様も対象となります。
無料のASM脆弱性診断(一部のCVSSの緊急・重要なものは概要のみ)は、対象ドメインをご登録いただければ、すぐに診断を行います。下記のリンクからお申し込みください。
※政府系機関と業者の銀行口座維持のためには、脆弱性診断結果の提出が必須なのがサイバーセキュリティ先進国です。下記の3国含め、多くの国でAEGIS-EWが活用されています。
- NIST(米国立標準技術研究所)でのCSF、SP-800シリーズ適応報告書類
- NCSCNational Cyber Security Center(英国・国家サイバーセキュリティ・セ ンター)
- ASD(Australian Signals Directorate: オーストラリア・参謀本部国防信号局)
AEGIS-EW(イージスEW)個別デモンストレーション【無料】を承ります。
デモ内容は、ドメイン診断結果の実例をもとに、主にUIの簡単な説明・深刻度グラフの見方などをご説明をいたします。AEGIS-EWの使いやすさなど、様々な特徴を知っていただく為に、この機会に是非お気軽にお申し込みください!
IT分野のおもてなしを世界に!
私共はManaged Service Provider (MSP)です。
お客様がお困りのIT業務があれば何なりとお声がけください。
できるかぎりのサポートをご提供させていただきます。
MIRAIサポータ育成サービス
MIRAIサポータ育成サービス
MIRAIサービスの特徴は『MIRAIサポータ』と呼ばれる専属スタッフがIT業務代行を担当することです。『MIRAIサポータ』は、弊社が運用する『MIRAIの学舎(まなびや)』にて学習カリキュラムを修了し、実力を身につけた認定済みスタッフです。
特に中堅・中小企業様には、高額なSIerなどを雇うことなく『MIRAIサポータ』がさまざまなお困りごとを解決していきます。
