『野良端末』『漏洩情報』も検出する
ASM・ペネレーションテスト実施
プラットフォーム脆弱性診断ツール
イージスEW
AEGIS-EW
- 基本情報
- 導入検討・運用支援
- 既存ユーザーコンテンツ
イージスEW 脆弱性診断のダッシュボード
グラフや色分けによるグラフィカルで分かりやすい結果表示により、システム納入時の”ハードニング”(=脆弱性対策を施すこと)実施済証明を作成する際、大きな説得力をプラスすることができます。
「イージスEW (AEGIS-EW)」は、該当ドメインの診断結果を各分野別にCVSS(共通脆弱性評価システム)v3.1のスコアを色分けして表示します。また、各分野を総合した独自の評価点(レーティング)も提供します。
イージス EW お客様の約 95%が
赤・オレンジの脆弱性項目が発生していました!
改修後の目標 総合評価(レーティング)は
100 点満点制で60 点以上を達成しました!
世界標準 CVSSv3.1 の深刻度仕様・色の定義は?
CVSSの定義である色の配色は、世界共通です。
上記の表は、米国 NIST、NCSC(英国)、NATO 先進国等の評価基準です。
赤とオレンジの改修が義務づけられています。
米国、英国、NATO主要国の公共機関は、赤とオレンジの脆弱性がある企業とは銀行口座を持てません。イージスEWのGUIは非常にわかりやすく、サイバーセキュリティの専門知識がなくても色で簡単に判断できます。そのため、NIST(米国)、NCSC(英国)、および日本の特定社会基盤事業者での使用ユーザが増えています。
広範囲に渡る脆弱性診断分野
CLOUD
Cloudプラットフォーム診断
Amazon AWSにおけるセキュリティポリシーを診断します。
VPC(Virtual Private Cloud)のデフォルトセキュリティグループが不要な通信を制限しているかを確認します。
その他に、Amazon S3におけるパブリックアクセスのブロック設定およびVPCフローのログ記録や複数リージョンでの設定が安全であるか調査します。加えて、全リージョンにおけるCloudTrail有効化を診断します。また、重要なセキュリティイベントに対するアラーム設定やルートアカウントに対するハードウェアMFA(Multi-Factor Authentication)の有効化について確認することも可能です。
送信ドメイン認証
「受信したメールが正規の送信元から送られてきたものかどうか」を確認できる仕組み。メール送信が行われるサーバ(SMTP)に対して、「IPアドレス認証」や「電子署名」を用いて、「メールのなりすまし」が行われているかどうかを判断します。(SPF,DKIM,DMARCチェックもサポート)
BREACH
データ侵害
攻撃者が、Webサービス等に攻撃を仕掛けて得た個人情報をダークウェブ等に拡散する行為のこと。特にメール情報の漏洩から発生が多く、メールアドレスを基軸にした診断を実施します。
WEBCERT
Web 認証関連
WEBサーバ証明書に関する認証プロトコル全般の脆弱性チェックを診断します。例えば、TLS、SSLのバージョン情報、等。
HEADER
HTTP ヘッダー関連
WEBアプリケーションとのHTTPプロトコルをセキュアにするための各種ヘッダーのサポート状況を診断します。これにより、サポートOSの正しいチェックモジュールが搭載されているか、攻撃防御を実施するための設定が成されているか、等をチェックします。
PORT
ポートスキャン攻撃
ポートスキャンからの外部侵入に対する脆弱性の診断を行います。必要最低限のポートのみを使用し、不要なポートは常に締めておく対策が求められます。
CVE
Common Vulnerabilities and Exposures 共通脆弱性識別子
個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。
野良端末検出機能
サブドメイン検出
サブドメインの管理は、セキュリティにおいて非常に重要な要素です。管理されていない野良端末(特に開発環境やテスト環境)が存在する場合、攻撃者にその隙間を突かれるリスクが高まります。野良端末検出機能は、これらの放置されたサーバを自動的に探し出して、リスト化します。
本来、あってはならないはずの深刻度1(グラフの「赤」部分)の脆弱性がサブドメイン内に存在。色はCVSSv3.1の世界基準に準拠。
他社・無料脆弱性診断では、CVEのみ、野良端末の発見機能がなかったり、非常に診断範囲が狭い場合が多いので留意してください。
※イージスEWは、プラットホーム脆弱診断ツールです。アプリのセキュアコーディング、および他セキュリティツールとの差分は、こちらを参照してください。“こちら”→
全てのプラットフォーム脆弱性診断を共通GUIで『一括管理』
インターネット上のASM・ペネトレーション診断は元より、Edge-BOX(VPN-BOX)を用いての社内端末群、納品前システムのインフラ脆弱性診断を、共通GUIで統一管理が可能です。
これにより、種々のツールを用いる必要が無く見やすく管理手法の一元化が可能になり、管理者の工数低減に寄与します。
特定社会基盤事業者・需要インフラ事業者のネットワークに使用されるIoT機器の脆弱性診断
システム納品時において各IoT機器の脆弱性診断事前結果提示が求められます。
イージスEWでは、IoT機器単品ごとに脆弱性診断の実施結果を提示し、納品いたします。
ASMとペネトレーションテスト
プラットホーム脆弱性診断はASMとペネトレーションテストが必要です。
ペネトレーションテストだけでは『砂上の城』と同じです。
イージスEWの脆弱性診断は、下記のように2項目で構成されています。
ASM
(Attack Surface Management)
パッシブスキャン
※野良端末チェック(全サブドメイン洗出)(パケット・トレーサー)(DNS/Whois)
※ドメイン漏洩
※各脆弱性分野診断(CVE含む、6分野:実際のデータ書込は行わない)
ペネトレーション
テスト
アクティブスキャン
※IPアドレス基軸で全端末の診断
※実際の書込み深刻度を実測 → 各脆弱性分野診断(CVE含む、6分野:実際のデータ書込を行います。)
日本の多くの公共施設、特に重要インフラ事業者でも、脆弱性診断(特にASM)が適切に実施されていない場合があります。
現状では、野良サーバの存在や多くの CVSS 緊急・重要項目が放置されていることが報告されています。
ハッカーは、攻撃対象のサイトを決定する際に、まずアタック・サーフェス・マネジメント(ASM)で脆弱性診断を行います。ASM 診断が十分でないドメインほど、乗っ取りが容易になります。
そのため、脆弱性診断の実施が不十分な状況では、サイバー攻撃に対するリスクが高まります。
イージスEW 導入方法・販売価格
イージスEW 導入方法 〜 システム改修
イージスEW 導入までのフロー
① お客様から: 脆弱性診断対象ドメインをお教えください
脆弱性診断を実施したいドメインを弊社/販売店までお知らせください。
② 弊社から: 簡易・無料診断結果のご報告
受付から、1週間以内に脆弱性リスクをスコアリングした「簡易・無料脆弱性診断スナップショットビュー」をご提供します。
検出されたドメイン総数(サブドメインも含みます)に基づいた見積書をご提出いたします。※1
なお、価格は調査対象のドメインに含まれる「メインドメイン」と「サブドメイン」の合計から算出されます。
例:イージスEW(無料版)診断結果レポート
・この画像はサンプルです。フォーマットは適時変更する可能性があります。
・無料版は簡易評価となります。問題を解決するため、有料版での更なる仔細レポート作成をご提案いたします。
※イージスEW有料版で、ダッシュボードIDとPWを取得していただき、ご自分で脆弱性診断結果を閲覧、RISKの無効化等の設定を行う事ができます。
③ お客様から: 発注時、お客様が作成したAIGES-EWアカウントの通知
発注方法は、次のいずれかからお選びください。
1. 販社経由(販社から「AEGIS-EW」紹介の場合)
2. 弊社ECサイト経由(近日オープン予定)
その後、脆弱性診断結果をお客様にて確認して頂くためのAEGIES-EWアカウントを作成していただきます。 ※2
アカウント開設がお済みになりましたら、弊社まで登録メールアドレスをお伝えください。
④ 弊社から: AEGIS-EW診断結果アップのご通知
診断結果の掲載が完了した旨をお客様へご連絡します。
これによりお客様自身で「AEGIS-EW(イージス・EW)」脆弱性診断の詳細結果を確認いただけます。
⑤ お客様から: AEGIS-EWサイト診断結果・有料セミナーのご検討(オプション)
お客様環境の脆弱性診断結果をもとに、弊社認定講師による個別説明会(Web会議)を受ける事ができます。
脆弱性診断によって洗い出された深刻度レベルの重要さに応じて、「対策ページへのアクセス方法」の説明をさせていただきます。※3
なお、受講者の制限はございません。
※1 DNS応答のあった全ドメイン/サブドメインから、エンドユーザ様の稼働中ドメイン合計数を御社にご報告します。(ドメイン数は「スナップショットビュー」内の合計ドメイン数となり、価格表から御見積金額が決定されます)お客様は、販社様より御見積を取得していただくか、弊社ECサイトサイトからの発注となります。
※2 本アカウントは、お客様自身で自社の診断結果を確認していただくための「AEGIS-EWのアカウント」となります。(必須)この際に、Eメールアドレスとパスワードを設定していただく必要があります。
※3 本セミナーは、あくまでも一般論となります。お客様固有のシステム内部の環境についてはお答えできません。
イージスEW無料版のASM脆弱性診断の実施に続いて、イージスEW有料版にて脆弱性診断の全データ結果を取得します。
これにより、洗い出された深刻度レベルの重要さに応じて、システムのメンテナンス改修作業を実施します。
イージスEW 有料版 推奨販売価格(例)
イージスEW開発・実績
『イージスEW』は、ワールドワイドで使用されている次世代ASM(パッシブスキャン)およびペネトレーションテストのツールです。システム提供会社であるTitanium Defence Ltd.社(本社New Zealand Upper Hutt, CEO&CTO Anthony Grasso)AEGIS-EW開発・運用コアメンバーの多くは、米国政府機関、英国国家機関、オセアニア政府機関などにおいて脆弱性診断を実施した経験を持つプロフェッショナル集団により構成されています。
イージスEW ASM脆弱性診断【無料】
イージスEW 診断結果セミナー【有料】
イージスEWをご購入いただいたお客様に向けた、診断結果の有料による説明セミナーです。
イージスEW デモンストレーション【無料】
イージスEW導入をご検討される方へ、個別にデモンストレーションを実施いたします。
システム改修について
弊社では『MIRAIサポータ』と呼ばれる専属スタッフが、エンドユーザへ個別サポートをいたします。
システム改修など、専門知識が必要な事案のサポートを一任いただけます。
セキュリティ支援サービス
弊社は、サイバーセキュリティ業務を完全サポートいたします。手厚い研修と脆弱性診断後のシステム改修作業の支援で、貴社のセキュリティを確実に強化します。支援費用は月額35時間から始められ、いつでも1ヵ月前の通知で終了可能ですので、費用面でも安心してご利用いただけます。
イージスEW ユーザーコンテンツ
- イージスEW 管理画面ログイン
- AEGIS-EW アカウントの作成方法
- 操作マニュアル ダウンロード(PDF)
- FAQ よくある質問
導入をご検討される方へ
- 商工会議所会員様に向けて
- 病院のお客様に向けて
- イージスEW販売店様の募集