アタックサーフェス調査 -SQAT® ASM-

サイバー脅威に備えるための調査サービス

Webシステムやネットワーク機器などの外部との接点にある「サイバー攻撃の対象となりうるIT資産」が、攻撃者の視点からどのように見えているかをOSINT技術を活用して脅威となり得る情報を収集します。幅広く貴組織で未把握の脅威を確認するのに有効です。

サイバー脅威に備えるために必要なのは、自組織が晒されている脅威の状況を知ることです。想定外の脅威や脅威の緊急度を把握することは、適切な対策を講じる重要なカギとなります。

アタックサーフェス調査・サイバー脅威情報調査サービス概要図

サイバー脅威情報調査サービスについてはこちら


サービス概要

アタックサーフェスとは

アタックサーフェスとはWebシステムやネットワーク機器などの外部との接点にある「サイバー攻撃の対象となりうるIT資産」を指します。

インターネット上で「攻撃者にとって対象組織はどう見えているか」調査・報告するサービスです。攻撃者と同じ観点に立ち、企業ドメイン情報をはじめとする、公開情報(OSINT)を利用して攻撃可能なポイントの有無を、弊社セキュリティエンジニアが調査いたします。

OSINT(Open Source Intelligence:オープンソースインテリジェンス)とは、合法的に入手できる公開情報を元にした調査・分析手法です。


サイバー保険付帯

費用の問題から十分な初動対応ができないといった問題が発生しかねない状況を憂え、BBSecから提供する脆弱性診断サービス「SQAT® 脆弱性診断」のすべてに、サイバー保険を付帯しました。

※外部サイトにリンクします。

サービスの流れ(実施フェーズ)

  1. 調査依頼
    お客様からの依頼をいただく
  2. 調査対象の調整
    お客様にとって調査が必要な情報の決定
    ※調査対象とする法人名をご指定いただきます
  3. 情報収集
    必要な情報を収集・抽出して整理する
  4. 情報分析
    取得できた/できなかった情報を精査、解析、分析
    ●敵意性(Adversary)やTTPs(Tactics, Technologies, Procedures)の特定
    ●汚染情報・カウンターインテリジェンスの排除
    ●事実(Fact)と推測(Assessment)の分離(ほか、誤謬・認知バイアス・ACH)
    ●TLP (Traffic Lamp Protocol):Red, Amber/Yellow, Green, White
  5. 調査結果報告

対策の実行
アタックサーフェス調査終了後、お客様が報告内容に基づいて脅威への対応要否や優先度等を決めて対策を実行

調査対象

調査対象を、特に重要と考えらえる下記情報に限定して実施します。

  • DNS情報
  • 稼働サービス
  • オープンポート
  • 既知の脆弱性(稼働サービスにて該当する場合)

アタックサーフェスと脆弱性診断

アタックサーフェス調査では、IT資産の脆弱性検出やリスク評価を行うという点では、「脆弱性診断」と重なる部分も確かにありますが、主に以下のような違いがあります。

アタックサーフェス調査脆弱性診断
目的公開情報から自組織のセキュリティ脅威を確認する特定のシステムにおける脆弱性を網羅的に洗い出す
対象対象組織に関連する公開情報すべて・組織自ら特定したシステム
・公開/非公開は問わない
メリット自組織に対する攻撃のきっかけとなりうる脅威を広い範囲で把握できる脆弱性特定精度が高く、診断種別により環境に特化した脆弱性検出も可能
注意点通常アクセスの範囲による情報のため脆弱性存否の確度は低い疑似攻撃を行うためシステムの稼働等に影響を与える恐れがある

※「アタックサーフェス調査」と「脆弱性診断」は、いずれかのみを行うというよりも、それぞれの目的に応じて使い分けたり、併用したりすることが望ましいと言えます。

実施のメリット

自組織がサイバー攻撃を受けうるポイントを事前探査することで、IT資産やシステムの「うっかり管理漏れ」防止に寄与するサービスです。サービス実施のメリットとして、以下のようなことが挙げられます。

  • 自組織がサイバー攻撃を受けうるポイントを探すことで、セキュリティ脅威の事前防御策を講じるのに役立つ
  • インターネット上で攻撃者からどう見えているかわかるため、自組織のサイバーリスク評価に用いることができる
  • 不正アクセスや疑似攻撃でない手法による調査のため、実施にあたって稼働システムへの影響を考慮する必要がなく、安全に実施できる
  • 調査結果をセキュリティ対策の重点箇所や優先度の検討に役立てることができるため、金銭的・時間的なメリットを得られる

実績例

弊社で実施したアタックサーフェス調査の例です。

業種調査結果
人材サービス会社脆弱性が存在するCMS(非公開環境)の発見、管理画面の検出など
決済サービス会社サブドメインテイクオーバー(既に乗っ取られているドメイン)を発見
総合大学研究室のテスト用サーバが公開領域に存在していること、外部ログインが容易な状態であることを発見
クレジットカード会社開発向けステージングサーバの発見
WAF(セキュリティソリューション)迂回経路の発見

簡易アタックサーフェス調査

アタックサーフェス調査サービスでは、弊社調査員による手動対応を行いますが、調査ツールを回して自動的に出力された結果だけを見る簡易的な調査(簡易OSINT調査)をすることもできます。

簡易調査でも、システム保有者がうっかり見落としているセキュリティ上の問題が複数判明することは珍しくありません。そして、簡易調査で検出されたのは、数あるセキュリティ脅威のほんの一部にすぎない可能性があると考えられます。

簡易OSINT調査では判明しなかった恐れのある脅威を発見するためにもアタックサーフェス調査をお勧めいたします。


価格

アタックサーフェス調査は、その調査対象・期間等によって価格が異なります。お客様のご要件をヒアリングし、お見積りいたしますので、下記のお問い合わせボタンよりお気軽にお問い合わせください。

FAQ

脆弱性診断についてよくあるご質問(FAQ)はこちら。詳しいご案内は、下記のお問い合わせボタンよりお気軽にお申し付けください。

関連サービス

脆弱性診断 TOPに戻る
SQAT®Security Service TOPに戻る