NRIセキュア、セキュリティ担当者に“やさしい”ASMソリューション「ASMimosa」を提供

　NRIセキュアテクノロジーズ株式会社（以下、NRIセキュア）は6日、企業のIT資産に対して、サイバー攻撃の起点となりうる攻撃対象領域を幅広く把握し、継続的にリスクを監視・管理するASM（Attack Surface Management）ソリューション「ASMimosa（エーエスミモザ）」を提供開始すると発表した。生成AIと独自手法で、人手では見つけにくいIT資産を幅広く検出できるという。

　「ASMimosa」は、セキュリティ担当者に「やさしい」をコンセプトとして開発されたASMサービス。企業のIT部門が把握しているかどうかにかかわらず、自社のIT資産を探索し、それらのリスク評価・分析を行って、その結果を報告する。

　具体的には、NRIセキュアが15年以上かけて培った独自の探索手法と、生成AIを用いた資産判定の工程を繰り返し実施することにより、手作業では見つけにくいIT資産を含めて、多くの資産候補を検出できるという。一般的なASMサービスにありがちな誤検知を抑えられるほか、管理者が不明のIT資産が見つかった場合も、関連性の深い組織を自動的に予測するため、セキュリティ担当者が管理者を調べる手間を軽減するとした。

　探索した資産は、株式会社ユービーセキュアのクラウド型Webアプリケーション診断ツール「VexCloud」を用いて、外部から調査可能な範囲でセキュリティリスクなどを評価・分析する。これにより、対象システムに負荷を与えず、正常アクセスの範囲で評価を行えるとのこと。

　また、IT資産の一覧と、評価・分析の結果から推奨される対策を盛り込んだレポートを、経営層、全体管理者、現場担当者といった報告対象ごとに、分析項目を変えて作成・提出する。レポートは専門知識がなくてもわかりやすい内容となっており、経営層への報告や現場への依頼にもそのまま活用可能なため、社内コミュニケーションの負荷を軽減できるとしている。

　なお2026年度以降には、疑似攻撃によってより具体的なリスクも評価・分析できるように機能を高度化する予定。さらに、関連会社ごとに傾向を分析したレポートの提出や、ダッシュボード機能の拡充なども計画されている。

ASMimosaの探索・判定の仕組み