セキュリティ診断サービス オンライン相談活用事例をご紹介！ASMツールでリスクが“見える”、 相談できて対策がわかる

「MS＆ADサイバーリスクファインダー」とは？

このASMについて経済産業省は、2023年5月に「サイバー攻撃から自社のIT資産を守るための手法として注目されている」として導入ガイダンス^※2をまとめたほか、2025年5月には、ASMサービスを活用するなどしてサイバーセキュリティ対策を強化するよう呼びかける「産業界へのメッセージ」^※3を出しています。

※1 ASM：アタックサーフェスマネジメント。経済産業省の「ASM導入ガイダンス」では「組織の外部（インターネット）からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義されている。
※2 「ASM導入ガイダンス」https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html
※3 「産業界へのメッセージ」https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

モバイル端末やIoT機器の普及にともなって、インターネットにつながっているすべてのIT資産を把握・管理するのは容易なことではありません。一方で、企業を狙ったサイバー攻撃は手口が巧妙化していて、被害も多数発生しています。

こうしたことを踏まえ、企業のみなさまのサイバーセキュリティ対策として、自社のIT資産を「攻撃されにくい状態」にすることが急務となっており、そのために有効な手法の1つがASMです。

そんなASMサービス「MS＆ADサイバーリスクファインダー」の特長は、次のような点です。

• 自社が管理するドメインを入力するだけで、毎月、インターネットを通じて外部からアクセス可能なIT資産を検知、セキュリティリスクを診断
• 診断結果をわかりやすいレポートとして毎月お客さまに提供
• 追加料金なしで、必要な時に専門家にオンラインで相談できる

では、実際にどのような相談が多いのでしょうか。セキュリティ診断とあわせてオンライン相談をフル活用しているお客さまの事例をいくつかご紹介します。

利用している企業は？診断結果のイメージは？

「MS＆ADサイバーリスクファインダー」のご契約をいただいている企業には、中堅・中小企業が少なくありません。業種はさまざまですが、ご担当者さまは“IT担当”といっても、専任で担当されている方はほとんどおらず、総務や人事などの業務も兼務しながら1人でIT関連の対応をされているケースが多いです。

このため、ご担当者さまがITやサイバーセキュリティに詳しくなくても自社のセキュリティ状況を正しく把握できるように、サービスでご提供する診断レポートは、“わかりやすさ”を重視しています。

次の画像は、診断結果のイメージです。

診断結果のイメージ

セキュリティのリスク状況の標準値を「40」として、それより高ければ“高リスク”、低ければ“低リスク”と診断されたことを示しています。

また、危険度に応じて検出されたセキュリティ上の課題の件数とその詳細もわかるようになっていて、見つかった課題に対する対策を検討することができます。この対策で本当に正しいか、複数の課題が見つかった場合にどう優先順位をつければよいか、といった悩みがあれば、オンライン相談で専門家のアドバイスを受けることができます。

検出されたセキュリティ上の課題のイメージ

ケース①　過去にランサムウェアの攻撃を受けたお客さま

A社は2つのドメインに対してサービスを利用していて、その１つがランサムウェアによる攻撃を受けたことがあり、もう一方のドメインの安全性に不安を感じていました。そちらのドメインのセキュリティ診断を行った結果、クリティカルな課題は見つからず、ひとまずは安全といえる状態であることがわかりました。

この結果について、オンライン相談でA社にお伝えしたところ「まずは攻撃を受けたドメインに対するセキュリティ対策に集中すれば良いことがわかり、今後の対応方針が明確になった」という趣旨の感想をいただきました。

ただし、セキュリティの状況は刻々と変化し、今回安全だったからといって次回も安全とはいえません。Ａ社は、引き続き月1回のセキュリティ診断を継続して、セキュリティ上のリスクが生じていないか確認していくことになりました。

ケース②　教育機関のケース

発見された中で特に重大なリスクは、教育機関Ｂが使っているサーバのログイン画面が外部から参照可能な状態になっている、つまりインターネット上でハッカーなどにも見える状態になっていることでした。

IDとパスワードが分からなければログインはできませんが、攻撃する側は、いろいろな手を使って侵入を試みますから、外部から見える必要のないものは、設定を変更して見えないようにしておく必要があります。

例えば、個人情報を管理しているサーバの場合、管理者権限で侵入されてしまうと、攻撃者がサーバをすべて操作できるようになるため、不正に情報を入手されてしまう恐れもあります。

このケースでは、お客さまが把握できていなかったリスクをASMによるセキュリティ診断で検出することができました。

ケース③　“かかりつけ医”のようにご利用いただくケースも

最後のケースは、大阪府の医療品原料の商社Ｃです。こちらのお客さまは、自社が保有するIT資産のどこに“隙”があるのか、外部の目で見てもらう必要性を感じて、サービスを導入いただきました。

月1回のセキュリティ診断では深刻なリスクは見つかっていないものの、軽微なリスクは見つかるので、リスクを1つでも多く解消するための対応方法についてオンライン相談をご活用いただいています。

また、オンライン相談では、診断結果に付随する自社のシステム環境やセキュリティに関するご相談にも乗らせていただきＣ社からは当サービスについて「ITやサイバーセキュリティに関する“かかりつけ医”のような存在」という言葉をいただいています。

定期的なセキュリティ診断とオンライン相談の活用で、リスクを早期に見つける

ASMツールは、攻撃者側から見えている“穴”を攻撃される側にも見えるようにするツールであり、企業にとっては重要な対策の１つです。

一方で“穴”が見つかっても、ふさぎ方が分からなければ意味がありませんので、ITに対して高い知識を持っていない・企業のご担当者さまにとっては、追加料金なしで、必要な時にオンラインで対策などについて相談できれば、早くに“穴のふさぎ方”がわかるようになります。

自社のセキュリティ対策を強化したいとお考えの皆さまは、お気軽にお問い合わせいただければと思います。