セキュリティ対策が施されていない“未把握資産”を検出／監視する方法とは？

　現代企業の多くが「管理外資産の増加」「脆弱性管理の限界」「既存のASM（Attack Surface Management）では攻撃が成功するかどうかが分からない」といった課題を抱えている。転職サービス「doda（デューダ）」などの各種サービスを提供するパーソルキャリアもそのような企業の1つだった。

　同社はサービスプロダクトのセキュリティ向上のため、脆弱性診断やパッチ管理、セキュリティ機器の設置などの施策を推進してきた。しかし、把握できていない資産にはセキュリティ施策を当てることができない。実際に実用環境のどこに、どのようなセキュリティリスクがあるのかを把握することが重要だと考えた同社は、新たに「資産検出」と「攻撃検証」の両機能を備えたサイバー攻撃シミュレーションプラットフォームを導入した。

　同製品は独自の検証エンジンによる「実攻撃ベースのリスク判定」が可能な点が特徴だ。攻撃者視点で未把握資産を網羅的にカバーし、検出した全資産に対して日次で監視を実行。OS・ミドルウェアだけでなくアプリケーション層まで診断対象とし、実際に悪用可能かという確実な判定根拠を提示する。本資料では同社事例をもとに同製品の詳細を紹介する。