お申込・お問合せ
 
イメージ

ASM(Attack Surface Management)

攻撃の侵入口を調査し、サイバー攻撃リスクを低減

無償トライアル調査実施中

情報システムご担当者のみなさん
このような心配事はございませんか?

 

ファイル共有

公開IT資産の管理

各部署でサービス(SaaS)を
利用していて管理しきれていない

FTPサーバ

情報漏えいの有無

アカウント情報が漏えい
していないか心配

HULFT

脆弱性・リスクの有無

ソフトウェア、バージョン情報、
オープンポートなどに脆弱性がないか不安

ASMサービスで

サイバー攻撃の対象となりうるIT資産を可視化し、

組織全体の脆弱性対策ができます!

VPNやリモートデスクトップ、SSH、WEBアプリケーションなど、外部からログインの試行が可能な状態になっているIT資産と漏えい事件などから流出したアカウント、脆弱性のあるIT資産とその脆弱性の内容を報告し、対策を提言します。


<調査後の納品物>

納品物・公開IT資産一覧

公開IT資産一覧

納品物・漏えいアカウント

漏えいアカウント
調査対象事件一覧

納品物・調査報告書

調査報告書

無償トライアル調査実施中!

サイバーリスクに不安のある/ASMを検討している情報システム担当者様へ無償のトライアル調査を提供しております。
自社ドメイン(1つ)に対してOSINTによる調査を行い、発見されたリスクの「件数」を報告書として提出します。

ASM(Attack Surface Management)サービスとは?

悪意あるハッカーによるサイバー攻撃の足掛かりとなりうる、IT資産や侵入経路(Attack Surface)に対して、 攻撃対象領域を把握してサイバー攻撃のリスクを抑え込むことをAttack Surface Management と呼びます。

CTCエスピーはソリトンシステムズのAttack Surface Managementサービスを提供しており、外部公開サーバやVPNゲートウェイといった攻撃面の発見、ソフトウェア、バージョン情報、オープンポートなど攻撃面の情報収集、さらに脆弱性の有無に加えて、既に攻撃が観測されたリスクの高い脆弱性の該当や公開されたログイン画面、インターネット上に漏えいしたユーザーID・パスワードといった攻撃面のリスク評価項目を独自に調査し、組織のセキュリティリスクを可視化します。

侵入口の発見

侵入口となりうる外部公開IT資産の発見
脆弱性の有無高リスク脆弱性の該当

<対策>
・パッチ適用 
・公開IT資産の管理

侵入口の調査

Webログインページや認証プロンプトなど
侵入口の調査

<対策>
・アクセス制限
・不要サービスの停止

漏洩ID・パスワード

なりすましリスクのある外部漏洩ID/パスワード


<対策>
・パスワード変更
・多要素認証


本サービスでは、サイバー攻撃者がターゲット組織を調べる際に用いるものと同じOSINT(OpenSource INTelligence)手法で調査するため、攻撃者の目線で攻撃の侵入口や、なりすましによるセキュリティリスクを調査することで緊急性の高いものから効率的に対策を行うことを支援します。
調査に必要な情報は調査対象のドメイン名だけなので、自社のセキュリティリスクだけでなく、海外拠点、グループ企業や取引先といったサプライチェーン全体を調査することができます。


ASM概要図

選べる2パターンのサービス

サービスメニュー サービス内容

専門家によるワンショット調査サービス

・外部公開資産の棚卸
・脆弱性などのリスク管理
・不正アクセスリスクの把握
・サプライチェーンのセキュリティリスク対応

現状把握を目的とした調査報告書の提出と対策の提言

・調査内容:公開IT資産、ソフトウェア脆弱性、オープンポート、
 アクセス制限のない認証画面と漏洩アカウント
・オンライン報告会(オプション)

Attack Surface Management
クラウド&調査サービス・継続的なリスク管理

・ワンショット調査後の変化の把握

ワンショットサービスとASMクラウドのハイブリッド版

・年一回の調査サービス
・自社で管理・運用いただくASMクラウド

管理できる情報と可視化できるリスク

報告対象 概要 主な報告内容 リスクと対象

サーバ/ネットワーク機器の情報

攻撃者と同じ手法で取得できる
ネットワーク機器の情報

■ ドメイン  ■ ホスト名
■ IPアドレス  ■ 公開ポート 等

■ 管理漏れ資産が無いかの確認
■ 不要なポートを閉じる
■ 不要資産の撤去等の対処

ソフトウェアの情報

機器で稼働するソフトウェアの情報と
脆弱性の有無および攻撃悪用の可能性の評価

OS   ■ サーバーソフトウェア
■ その他のミドルウェア
■ バージョン情報
■ CVE登録済の脆弱性の有無

■ 脆弱性の把握と評価
■ バージョン管理、パッチ適用
■ 脆弱性診断によるその他脆弱性、設定不備の確認

Webアプリケーションの情報

公開中のWebアプリケーション
および認証画面

■ 公開URL  CMSのバージョン
■ ライブラリのバージョン
■ 業務システム等のログイン画面

■ 管理漏れサイトの抹消
■ ログイン画面のアクセス制限
■ 脆弱性診断によるその他脆弱性の確認

認証プロンプト情報

公開されている認証プロンプト

SSHFTPなどの認証プロンプト

■ 適切なアクセス制限
■ PW認証➡公開鍵認証への変更

漏えいアカウントの情報

インターネット上で取得できる従業員のアカウント(メールアドレス/パスワード)の情報

■ 漏えい元サービスの情報
■ 漏えいのあった従業員名(メールアドレス)
■ 漏えいしているパスワード

■ パスワードの変更
■ 不正ログイン対策/標的型攻撃対策
■ パスワードだけに依存しない認証

無償トライアル調査実施中!

サイバーリスクに不安のある/ASMを検討している情報システム担当者様へ無償のトライアル調査を提供しております。
自社ドメイン(1つ)に対してOSINTによる調査を行い、発見されたリスクの「件数」を報告書として提出します。

ご利用・調査フロー

CTCエスピーは、ソリトンシステムズ社のASMサービスを利用してインターネット上に漏えいしたアカウント情報の調査を行います。

※調査結果に基づくご報告はCTCエスピーを介さず、お客様とソリトンシステムズ社の2社で行います。

STEP①

OSINT手法による漏えいアカウント調査
インターネット公開領域に対して、VPN機器や業務上外部サイトに登録したユーザー情報(ユーザーID、パスワード、メールアドレス 等)が漏えいしていないかを調査します。

STEP②

お客様のドメイン情報と照合
漏えいアカウント情報を収集・分析、データベース化し、お客様のドメイン情報をキーにデータベースと照合し、結果をレポートします。

STEP③

報告書の納品 ※無償トライアル調査の場合は「件数」のみ
漏えいが確認されたアカウント毎に以下をご報告します。
●漏えい元のWEBサービス名 ●パスワード漏えいの有無 ●その他漏えい情報(カード情報等)

導入ケース

情報通信業導入ケース

情報通信業 様

従業員:600名
情シス セキュリティ担当者様
セキュリティ対策は実施済み

  • ・診断、訓練と併用し別角度で自社 
  •  環境を把握したい
  • ・グループ各社のガバナンスを管理
  •  したい
金融業導入ケース

金融業 様

従業員:500名
情シス インフラ責任者様
セキュリティ対策は実施済み

  • ・外部公開少ないはずだが自社環境
  •  の再確認
  • ・脆弱性診断予定があるがコスト的
  •  に許容範囲
電子部品製造メーカー導入ケース

電子部品製造メーカー 様

従業員:20,000名
情シス セキュリティ担当者様
セキュリティ対策は実施済み

  • ・自社及びグループ会社全ての外部
  •  IT資産を把握したい
  • ・セキュリティ対策の戦略立案

ASM無償トライアルお申し込み・お問い合わせ

各種ご相談やご質問など、お気軽にお問い合わせください。

資料ダウンロード

お役立ち資料を無料でダウンロードいただけます

お問い合わせ

お気軽にお問い合わせください

ご検討中のお客様

製品導入をご検討中のお客様はまずはこちらから