アイソットは、お客様の
サステナブル経営を
によってご支援
いたします。

サイバーセキュリティリスク対策

企業の継続的な稼ぐ力*の妨げとなるセキュリティ事故が頻発しています。
サイバーセキュリティの側面から、サステナブル経営を支援します。
例えば、インターネットからの”AIを駆使した脅威(ハッキングやフィッシング)”にAIを利用したサービスでの解決を提案します。

1

脆弱性診断サービス

お客様のインターネットに表出する外部資産(アタックサーフェス)への自動での脆弱性診断とAIによる評価スコアを提供するアタックサーフェスマネジメントサービス(ASM)”BreachRisk™”をご紹介しています。

ASM普及の背景

警察庁の「ぜい弱性探索行為等の観測状況(2023(令和5)年度)」より、攻撃目的と思われるスキャン行為は、1IPアドレス/日当たり9,145件で連続で増加。(前年比で18.6%増加

・海外を送信元とするアクセスが高水準で推移(上記全パケットのほとんど(9091件/9145件中)が海外からの送信)

・Iot機器のポート(1024番以上)へのアクセスが多数

一般的なASMの特徴とイメージ

  • インターネットにつながっている世界中の機器の公開情報を継続的に収集・蓄積
  • 特定の条件に合致する機器などを検索可能(無料でも可能)
一般的なASMの特徴とイメージ

アタックサーフェスマネジメント(ASM)とは、被害につながる様々な攻撃対象の管理をいい、ASM製品やツールの導入は、経済産業省からも推奨されています。

ASMが注目される理由
ランサムウェア侵入経路は、VPNとリモートデスクトップ

ランサムウェア攻撃に係る情勢(3)

Security Managument Conference 2024 (2024年8月開催)
警察庁 長官官房審議官 阿部氏資料“令和5年におけるサイバー空間
をめぐる脅威の情勢等について”より

ASMが注目される理由は・・・

警察庁の報告(左記)のとおり、企業が把握できていないアタックサーフェス(VPNサーバ等)がランサムウェアの侵入経路として狙われています。
これまでの“脆弱性診断”をウェブサーバ以外に対象を広げ、継続的にかつ自動で診断する必要性が高まってきています。

ASM導入企業や取扱いベンダーが急増!

金融機関等大企業を中心にASMは普及してきています。
今後の普及を見越して、今年(24年)から多くのベンダーが取扱いを始めています。
※セミナー・ウェビナー講演タイトル例
“ランサムウェア対策の1丁目一番地!ASM(Attack Surface Management)を成功させるエッセンスとは?”
“Attack Surface Managementはバズワードなのか? 企業の期待とソリューションご紹介”

01

外部からの脅威診断 – BreachRisk™サービス

  • 米国海軍にて培った様々な知見を元に、AIを活用した自動化された脆弱性評価を含むアタックサーフェースマネジメントサービス
  • BreachBits社が提供するCloudサービスから、お客様自身による脆弱性評価を、週次もしくは月次にて、定期的に実施することができます。
  • 保険の引き受け会社は、定量的にサイバーリスクを可視化できる本サービスによって、どのような業態、規模、事業ポートフォリオ等に関係なく、保険適用が容易になります。
  • <NEW>ダークウェブ情報(ID、パスワード情報)の提供および、ダークウェブ情報を利用した侵入テストの実施が行えるようになります。
BreachRisk™ SCORE
Risk Benchmarks
Attack Surface Benchmarks
AIによる自動化

ミリタリーグレードのAIによる自動化

攻撃のエミュレーション

弊社のテクノロジーは、サイバーアタックのベテランが、現場で経験した既知の攻撃者の手法を利用

継続性

24時間体制で機能し、サイバーセキュリティを最新の状態に保ちます

スコアリングとレポート

スコアはスケーラブルで現実的でわかりやすいメトリックを提供し、生産的な意思決定とアクションを可能にします

02

何故BreachRisk™サービスが開発されたのか?

BreachRisk™サービスは、AIを活用し犯罪者と同じ、攻撃箇所の発見方法、攻撃手法等を使い顧客の環境を調査します。

BreachRisk™サービス 過程
AIを活用した脆弱性評価サービスとは?

攻撃者の思考パターン例

“このホストはターゲット企業のものか?”
“使用しているアプリケーションを攻撃した場合に与えるインパクトは?”
“探索したアプリケーションが関連する脆弱性、設定ミスとは?”
“ターゲット企業の他のドメインやホストを探せるか?”

03

BreachRisk™ 診断サービス 事例

AIとセキュリティエキスパートによる脆弱性診断ポータルを採用

  • 導入時期:2023年6月
  • 業種:総合建設業、ホテル業、不動産開発業、スポーツ関連施設運営
  • 導入サービス:アタックサーフェスマネジメント(ASM):BreachRisk™サービス
背景・要件

1. 中期経営計画で、グループ会社の情報セキュリティ対策強化を掲げる
2. 約一ヶ月の以下のPOC(事前実証)を行った

  • スコアリングとレポート
  • 脆弱性の発見、修復と検証
  • 外部からの攻撃をチェック 等
BreachRisk™ SCORE
選定理由

1. 不正アクセスにつながる攻撃ベクトルが複数確認され、 継続的な脆弱性評価が必要であると認識した
2. 年間契約により、コストが安くすんだ
3. 海外子会社からのメールアドレス等のクレデンシャル情報が確認できた。

BreachRisk™の製品詳細や価格、デモはお問合せください

お問い合わせ先
2

コンサルティング/
セキュリティ教育

SECURITY EDUCATION
セキュリティ教育

社員向けセキュリティ研修
標的型メール訓練サービス

CONSULTING
コンサルティング

情報セキュリティ関連規程の作成支援
情報セキュリティ監査

3

東京海上日動の
サイバーリスク保険

次の3つの補償により、サイバーリスクを包括的に補償します。

損害賠償責任に関する
補償
サイバーセキュリティ事故
対応費用に関する補償
コンピュータシステム中断に関する
補償(オプション)
保険販売元:(株)エイジェック保険サービス

AIエンジンを搭載したConcealBrowseは、ユーザの使い勝手そのままで、悪意のあるwebページを自律・自動的に識別し、リンクを利用したサイバー攻撃を防御します。

WiseAlertは、メール誤送信による個人情報の流出を防ぎ、標的型メールも対策できます。(Outlook専用誤送信対策)

MENU