『野良端末』『漏洩情報』も検出する
ASM・ペネレーションテスト実施
プラットフォーム脆弱性診断ツール
イージスEW
AEGIS-EW
- 基本情報
- 運用支援
- 操作ガイド
脆弱性診断のダッシュボード
グラフや色分けによるグラフィカルで分かりやすい結果表示により、システム納入時の”ハードニング”(=脆弱性対策を施すこと)実施済証明を作成する際、大きな説得力をプラスすることができます。
「イージスEW (AEGIS-EW)」は、該当ドメインの診断結果を各分野別にCVSS(共通脆弱性評価システム)v3.1のスコアを色分けして表示します。また、各分野を総合した独自の評価点(レーティング)も提供します。
イージス EW お客様の約 95%が
赤・オレンジの脆弱性項目が発生していました!
改修後の目標 総合評価(レーティング)は
100 点満点制で60 点以上を達成しました!
世界標準 CVSSv3.1 の深刻度仕様・色の定義は?
CVSSの定義である色の配色は、世界共通です。
上記の表は、米国 NIST、NCSC(英国)、NATO 先進国等の評価基準です。
赤とオレンジの改修が義務づけられています。
米国、英国、NATO主要国の公共機関は、赤とオレンジの脆弱性がある企業とは銀行口座を持てません。イージスEWのGUIは非常にわかりやすく、サイバーセキュリティの専門知識がなくても色で簡単に判断できます。そのため、NIST(米国)、NCSC(英国)、および日本の特定社会基盤事業者での使用ユーザが増えています。
広範囲に渡る脆弱性診断分野
CVE
Common Vulnerabilities and Exposures 共通脆弱性識別子
個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。
CLOUD
クラウドサーバ診断
Azure Cloud Scan 機能
※ ペネトレーションモードのみ有効
Amazon AWSやMicrosoft Azure上のセキュリティポリシーを診断します。
VPC(Virtual Private Cloud)のデフォルトセキュリティグループが不要な通信を制限しているかを確認します。主に、ルートアカウントへのMFA(Multi-Factor Authentication)の有効化とストレージの公開範囲調査を行います。また、セキュリティイベントに対するアラーム設定について確認することも可能です。
なお、Amazon S3におけるパブリックアクセスのブロック設定も調査します。
送信ドメイン認証
「受信したメールが正規の送信元から送られてきたものかどうか」を確認できる仕組み。メール送信が行われるサーバ(SMTP)に対して、「IPアドレス認証」や「電子署名」を用いて、「メールのなりすまし」が行われているかどうかを判断します。(SPF,DKIM,DMARCチェックもサポート)
BREACH
データ侵害
(情報漏洩)
攻撃者が、Webサービス等に攻撃を仕掛けて得た個人情報をダークウェブ等に拡散する行為のこと。特にメール情報の漏洩から発生が多く、メールアドレスを基軸にした診断を実施します。
WEBCERT
Web 認証関連
WEBサーバ証明書に関する認証プロトコル全般の脆弱性チェックを診断します。例えば、TLS、SSLのバージョン情報、等。
HEADER
HTTP ヘッダー関連
WEBアプリケーションとのHTTPプロトコルをセキュアにするための各種ヘッダーのサポート状況を診断します。これにより、サポートOSの正しいチェックモジュールが搭載されているか、攻撃防御を実施するための設定が成されているか、等をチェックします。
PORT
ポートスキャン攻撃
ポートスキャンからの外部侵入に対する脆弱性の診断を行います。必要最低限のポートのみを使用し、不要なポートは常に閉めておく対策が求められます。
野良端末検出機能
サブドメイン検出
サブドメインの管理は、セキュリティにおいて非常に重要な要素です。管理されていない野良端末(特に開発環境やテスト環境)が存在する場合、攻撃者にその隙間を突かれるリスクが高まります。野良端末検出機能は、これらの放置されたサーバを自動的に探し出して、リスト化します。
本来、あってはならないはずの深刻度1(グラフの「赤」部分)の脆弱性がサブドメイン内に存在。色はCVSSv3.1の世界基準に準拠。
他社・無料脆弱性診断では、CVEのみ、野良端末の発見機能がなかったり、非常に診断範囲が狭い場合が多いので留意してください。
※イージスEWは、プラットホーム脆弱診断ツールです。アプリのセキュアコーディング、および他セキュリティツールとの差分は、こちらを参照してください。“こちら”→
全てのプラットフォーム脆弱性診断を共通GUIで『一括管理』
インターネット上のASM・ペネトレーション診断は元より、Edge-BOX(VPN-BOX)を用いての社内端末群、納品前システムのインフラ脆弱性診断を、共通GUIで統一管理が可能です。
これにより、種々のツールを用いる必要が無く見やすく管理手法の一元化が可能になり、管理者の工数低減に寄与します。
特定社会基盤事業者・需要インフラ事業者のネットワークに使用されるIoT機器の脆弱性診断
システム納品時において各IoT機器の脆弱性診断事前結果提示が求められます。
イージスEWでは、IoT機器単品ごとに脆弱性診断の実施結果を提示し、納品いたします。
ASMとペネトレーションテスト
プラットホーム脆弱性診断はASMとペネトレーションテストが必要です。
ペネトレーションテストだけでは『砂上の城』と同じです。
イージスEWの脆弱性診断は、下記のように2項目で構成されています。
ASM
(Attack Surface Management)
パッシブスキャン
※野良端末チェック(全サブドメイン洗出)(パケット・トレーサー)(DNS/Whois)
※ドメイン漏洩
※各脆弱性分野診断(CVE含む、6分野:実際のデータ書込は行わない)
ペネトレーション
テスト
アクティブスキャン
※IPアドレス基軸で全端末の診断
※実際の書込み深刻度を実測 → 各脆弱性分野診断(CVE含む、6分野:実際のデータ書込を行います。)
日本の多くの公共施設、特に重要インフラ事業者でも、脆弱性診断(特にASM)が適切に実施されていない場合があります。
現状では、野良サーバの存在や多くの CVSS 緊急・重要項目が放置されていることが報告されています。
ハッカーは、攻撃対象のサイトを決定する際に、まずアタック・サーフェス・マネジメント(ASM)で脆弱性診断を行います。ASM 診断が十分でないドメインほど、乗っ取りが容易になります。
そのため、脆弱性診断の実施が不十分な状況では、サイバー攻撃に対するリスクが高まります。
イージスEW 導入〜システム改修までのフロー
イージスEW無料版のASM脆弱性診断の実施に続いて、イージスEW有料版にて脆弱性診断の全データ結果を取得します。
これにより、洗い出された深刻度レベルの重要さに応じて、システムのメンテナンス改修作業を実施します。
イージスEW 有料版 推奨販売価格(例)
イージスEW開発・実績
『イージスEW』は、ワールドワイドで使用されている次世代ASM(パッシブスキャン)およびペネトレーションテストのツールです。システム提供会社であるTitanium Defence Ltd.社(本社New Zealand Upper Hutt, CEO&CTO Anthony Grasso)AEGIS-EW開発・運用コアメンバーの多くは、米国政府機関、英国国家機関、オセアニア政府機関などにおいて脆弱性診断を実施した経験を持つプロフェッショナル集団により構成されています。
イージスEW 導入事例
- 電力会社向けシステム開発会社
- 中堅 工学系大学様
- SSO認証基盤サービス会社様
- 大手 化粧品製造業様 ...その他
イージスEW ASM脆弱性診断【無料】
イージスEW 診断結果セミナー【有料】
イージスEWをご購入いただいたお客様に向けた、診断結果の有料による説明セミナーです。
イージスEW デモンストレーション【無料】
イージスEW導入をご検討される方へ、個別にデモンストレーションを実施いたします。
システム改修・改善【伴走サービス】
弊社では「伴走サービス」として、イージスEWのお客様と一緒に、診断された脆弱性の改修・改善を勧めるサービスを行っております
サイバーセキュリティ業務支援
弊社は、サイバーセキュリティ業務を完全サポートいたします。手厚い研修と脆弱性診断後のシステム改修作業の支援で、貴社のセキュリティを確実に強化します。支援費用は月額35時間から始められ、いつでも1ヵ月前の通知で終了可能ですので、費用面でも安心してご利用いただけます。
サイバーセキュリティ業務研修『未来の学舎』
お客様の社内セキュリティ業務チームの立ち上げ、セキュリティ業務研修、認定取得サポートなどを目的とした『未来の学舎』を運営しております。
イージスEW ユーザーコンテンツ
- イージスEW アカウント作成方法
- ダッシュボード操作マニュアル(PDF)
- 管理画面ログイン(外部リンク)
- テクニカル情報&ヒント
導入をご検討される方へ
- 商工会議所会員様に向けて
- 病院のお客様に向けて
- イージスEW販売店様の募集