“把握していないWebサイト”のセキュリティをどう強化する？

　WebサイトやWebサービスへのセキュリティ対策として一般に知られているのは、いわゆる「脆弱性診断」だ。しかし、脆弱性診断がチェックするIT資産の範囲は、自社で把握済みのWebサイトやWebサービスに限定されるため、把握していないWebサイトなどは対象外となる。

　この“把握していないWebサイト”に該当するものとしては、グループ会社のドメイン、事業部が立ち上げたWebサイト、クラウドサービス、外部公開APIなどが含まれる。そのため、脆弱性診断だけでは十分ではない。そこで注目したいのが、外部からアクセス可能なIT資産を発見し、これらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスであるASM（Attack Surface Management）だ。本資料では、Webに特化したクラウド型Web診断ツールを紹介する。

　一般的なASMと同様、Web-ASMを自社で実現するには人手がかかるという課題がある。資料で紹介するクラウド型Web診断ツールは、AIの機能を活用することで、大幅な効率化を実現する。また、開発やセキュリティに関する知識がなくても、トレーニングなしで診断可能である点も大きな特徴だ。本資料では、同ツールの特徴を詳しく紹介する。