SCSKセキュリティ、悪用可能性に基づいたIT資産分析を実施するASM（アタックサーフェスマネジメント）サービスを提供

　SCSKセキュリティ株式会社は27日、外部公開IT資産と脆弱性の適切な管理に貢献する新サービス「ASM（アタックサーフェスマネジメント）」を提供開始すると発表した。

　ASMは、企業が把握しきれず、サイバー攻撃の入り口となりうる「管理漏れ資産」や「野良サーバー」への対策として、外部公開資産を継続的に監視し、脆弱性や潜在的なリスクを特定・管理する手法。

　SCSKセキュリティでは、従来のASMはCVSS/Bなどのスコアリングを基に脆弱性の優先順位を付けることが一般的だったが、実際の被害リスクを把握することが困難だったと説明。検出された脆弱性の利用されやすさや、攻撃方法が公開されているか、実際の攻撃実績など、いわゆる「悪用可能性」を考慮して評価しなければ、正しいリスクを把握することはできないとしている。

　提供予定のASMサービスは、この「悪用可能性」に基づいた評価ができる点が特長で、例えばランサムウェアに関連する脆弱性や、過去の攻撃事例がある脆弱性、リモートコード実行が可能な脆弱性など、攻撃者が悪用する可能性の高い脆弱性を優先的に特定できる。これにより、実際のリスクを見極め、効率的かつ効果的なリスク対応を実現できる。

　SCSKセキュリティが提供するASMでは、攻撃者目線での脆弱性の発見と「悪用可能性」に基づく分析を通じて、発見した脆弱性に対して適切な優先順位付けを行い、効率的な検証を実施できるように支援する。ツールの導入から、悪用可能性の分析と検証まで、トータルに対応できる。

　「検知」フェーズでは、ASMツールを用いて、外部公開IT資産とその脆弱性を網羅的に特定・検知する。自動スキャンにより継続的に外部公開IT資産と脆弱性を把握可能にする。

　「優先順位付け」フェーズでは、検出された脆弱性に対してエクスポージャ分析を実施し、ビジネスへの影響度や攻撃の容易さを考慮した悪用可能性に基づいて対処の優先順位を設定する。結果として、分析結果から悪用可能性の高い脆弱性が明確になるため、この分析結果を生かして、例えばペネトレーションテストの実施につなげ、脆弱性に対する「検証」を実施することもできる。

　脆弱性の検知から検証のサイクルを継続的に回し続けることにより、顧客の適切な脆弱性管理の実現に寄与する。

　SCSKセキュリティでは、「検知」「優先順位付け」を含んだASMサービスを提供する。価格は130万円から。「検証」については、オプションでペネトレーションテストを利用することで実施できる。また、SCSKセキュリティは、IT資産管理ツールとの連携によるIT資産管理の自動化を目指し、サービスメニューを順次強化していくとしている。