Webシステムやネットワーク機器などの外部との接点にある「サイバー攻撃の対象となりうるIT資産」が、攻撃者の視点からどのように見えているかをOSINT技術を活用して脅威となり得る情報を収集します。幅広く貴組織で未把握の脅威を確認するのに有効です。
サイバー脅威に備えるために必要なのは、自組織が晒されている脅威の状況を知ることです。
想定外の脅威や脅威の緊急度を把握することは、適切な対策を講じる重要なカギとなります。
アタックサーフェスとはWebシステムやネットワーク機器などの外部との接点にある
「サイバー攻撃の対象となりうるIT資産」を指します。
インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。
調査対象を、特に重要と考えらえる下記情報に限定して実施します。
自組織がサイバー攻撃を受けうるポイントを事前探査することで、IT資産やシステムの「うっかり管理漏れ」防止に寄与するサービスです。サービス実施のメリットとして、以下のようなことが挙げられます。
アタックサーフェス調査終了後、お客様が報告内容に基づいて脅威への対応要否や優先度等を決めて対策を実行
アタックサーフェス調査では、IT資産の脆弱性検出やリスク評価を行うという点では、「脆弱性診断」と重なる部分も確かにありますが、主に以下のような違いがあります。
アタックサーフェス調査 | 脆弱性診断 | |
---|---|---|
目的 | 公開情報から自組織のセキュリティ脅威を確認する | 特定のシステムにおける脆弱性を網羅的に洗い出す |
対象 | 対象組織に関連する公開情報すべて |
|
メリット | 自組織に対する攻撃のきっかけとなりうる脅威を広い範囲で把握できる | 脆弱性特定精度が高く、診断種別により環境に特化した脆弱性検出も可能 |
注意点 | 通常アクセスの範囲による情報のため脆弱性存否の確度は低い | 疑似攻撃を行うためシステムの稼働等に影響を与える恐れがある |
※「アタックサーフェス調査」と「脆弱性診断」は、いずれかのみを行うというよりも、それぞれの目的に応じて使い分けたり、併用したりすることが望ましいと言えます。
アタックサーフェス調査サービスでは、弊社調査員による手動対応を行いますが、調査ツールを回して自動的に出力された結果だけを見る簡易的な調査(簡易OSINT調査)をすることもできます。
簡易調査でも、システム保有者がうっかり見落としているセキュリティ上の問題が複数判明することは珍しくありません。
そして、簡易調査で検出されたのは、数あるセキュリティ脅威のほんの一部にすぎない可能性があると考えられます。
簡易OSINT調査では判明しなかった恐れのある脅威を発見するためにもアタックサーフェス調査をお勧めいたします。
Webアプリケーション・API
脆弱性診断 SQATⓇ for Web
Webアプリケーション・APIを攻撃するハッカーの手法を用いて、外部から動的に脆弱性を診断すること で、攻撃の入口となる可能性のある箇所を検出します。診断は最新のセキュリティ情報 に基づき実施されますので、開発時の脆弱性初期診断だけでなく、定期的な実施など 既存システムの脆弱性対策の確認にも活用することをおすすめしています。
ネットワークへの侵入はシステム構成により企業全体へと影響を及ぼす可能性があり、脆弱性に対する対策は極めて重要です。ファイアウォール等のセキュリティ機器の診断を行うことにより、機器自体の問題やセキュリティパッチ適用漏れを見つけることができます。
ペネトレーションテスト
SQATⓇ Penetration Test
事前の綿密な調査により特定した「システム内でより弱い(脆弱な)個所」を起点にシナリオベースの疑似攻撃を仕掛け、システムの堅牢性を確認する検査です。実際の攻撃を体験することで、効果的な防御方法(システム・運用方法)の構築が可能となり、万一攻撃者にシステムへ侵入された場合の被害を最小化できます。