パーソルP&T、企業IT資産のセキュリティリスクを攻撃者目線調査・分析する「RiskVz」を提供

　パーソルプロセス＆テクノロジー株式会社（以下、パーソルP&T）は27日、インターネットに公開されている企業のIT資産の情報を攻撃者と同じ目線や手法で調査・分析し、セキュリティリスクを可視化して対策をレポートするサービス「RiskVz（リスクビズ）」の提供を開始した。

　RiskVzは、企業のIT・セキュリティ担当者が管理を行うソフトウェアの脆弱性や不要ポートだけでなく、見落としている／把握していないIT資産に対して、外部から脅威になりえるリスクを可視化するサービス。

　企業のIT資産が外部からどうみられているかをRiskVzで可視化することにより、セキュリティリスクを適切に把握できる。また、可視化された弱点に対して、優先的に解決すべき対応を提案することで、セキュリティ対策に必要な体制や予算計画の策定に活用できる。

　パーソルP&Tには150人以上のセキュリティエンジニアが所属し、金融系、製造業、サービス業など、さまざまな企業のセキュリティ対策・運用を支援してきたノウハウを通して、企業の効果的かつ効率的なセキュリティ運用を実現する。

　脆弱性診断やネットワーク診断と異なり、対象ドメインに関連するインターネットからアクセス可能（確認可能）なIT資産のリスクを診断する。こうした企業のIT資産の情報収集・調査・管理するプロセスを、海外では「External Attack Surface Management（EASM）」と呼び、重要度が増しており、RiskVzでのレポートを活用することで、必要な予算・運用体制の社内調整を円滑に進める客観的なデータとして利用できるようにする。

一般的な脆弱性試験・ネットワーク診断と「RiskVz」の対象範囲

　信頼性の高い情報基盤を利用し、インターネットだけではなくダークウェブで公開されている企業の漏えいアカウント情報を調査する。また、セキュリティプロフェッショナル認定資格制度（CISSP）や認定ホワイトハッカー（CEH）などの資格を保持した専門アナリストチームにより、対象のIT資産が外部からどのように見えているのかを攻撃者の目線で調査・分析し、レポートを提供する。

　外部公開されている情報リソースを利用するため、サービスに伴う顧客の作業や対象ドメインに関連するネットワーク構成図などの情報は不要。調査開始から最短2週間でレポートを作成するため、早期にセキュリティ対策の計画を検討している企業担当者も活用できる。

　パーソルP&Tの専門アナリストチームが、一般公開されている情報源からデータを収集・分析し、フィッシングドメインやなりすましサイトなど関連する外部の脅威や、設定漏れなどにより意図せず公開されているIT資産（社内システムサーバーやWebサイト、メールアドレス）などを可視化する。レポートでは、可視化されたリスクに対する具体的な推奨対策案と優先度を合わせて報告を行うため、セキュリティ対策に必要な運用体制や予算計画策定を検討でき、効果的かつ効率的なセキュリティ運用を実現する。

　また、セキュリティリスクにおける具体的な計画策定・運営においても、パーソルP&Tのアウトソーシングサービスと連携することで、具体的な対策施策のコンサルティング・運営支援にも対応する。