NRIセキュアテクノロジーズ(以下、NRIセキュア)は、ASM(Attack Surface Management)ソリューション「ASMimosa(エーエスミモザ)」を提供開始した。
同サービスは、生成AIを活用した高精度分析で誤検知を抑え、見落とされがちなIT資産も自動で検出することで、セキュリティ担当者の作業負荷を軽減するという。見落とされた脆弱性や設定不備による侵入・情報漏えいを防ぐとのことだ。ASMツールを導入する企業が増えているものの、誤検知や検出資産の管理者不明などにより対応が困難なケースも多く、確認作業や報告書作成に多くの工数がかかる課題を解消するとしている。
同サービスは、セキュリティ担当者に「やさしい」をコンセプトとして、NRIセキュアが自社開発したもの。企業のIT部門が把握しているかどうかにかかわらず、自社のIT資産を探索し、それらのリスク評価・分析を行い、その結果を報告するという。様々な作業工程において、セキュリティ担当者の負荷に配慮した設計になっていることが特徴とのことだ。
具体的には以下の3点を実施するという。
1. IT資産の探索・判定
NRIセキュア独自の探索手法と、生成AIを用いた資産判定の工程を繰り返し実施することで、手作業では見つけにくいIT資産を含めて多くの資産候補を検出するという。一般的なASMサービスにありがちな誤検知を抑えられるほか、管理者が不明のIT資産が見つかった場合も関連性の深い組織を自動的に予測するため、セキュリティ担当者が管理者を調べる手間を軽減できるとのことだ。
2. 評価・分析
探索した資産について、外部から調査可能な範囲でセキュリティリスクなどを評価・分析するという。実施にあたっては、ユービーセキュアが開発・提供するクラウド型Webアプリケーション診断ツール「VexCloud」を使用。これにより、対象システムに負荷を与えることなく正常アクセスの範囲で評価するとしている。
3. 報告
IT資産の一覧と、評価・分析の結果から推奨される対策を盛り込んだレポートを提出するという。レポートは3種類あり、経営層、全体管理者、現場担当者への報告対象ごとに分析項目を変えて作成するとのことだ。専門知識がなくても分かりやすい内容で、経営層への報告や現場への依頼にもそのまま活用できるため、社内コミュニケーションの負荷を軽減できるという。
2026年度以降には、疑似攻撃によってより具体的なリスクも評価・分析できるように機能を高度化する予定だとしている。また、関連会社ごとに傾向を分析したレポートの提出や、ダッシュボード機能の拡充なども予定しており、使いやすさの向上を目指すとのことだ。
【関連記事】
・NRIセキュア、情報システム監査などの国際資格「CISA」の学習サービス(日本語)を提供へ
・NRIセキュア、AIエージェントシステムの設計段階で潜在脅威を分析し対策案を提示するサービスを提供
・NRIセキュア、耐量子計算機暗号(PQC)の移行サービスを提供 移行検討からロードマップ策定まで支援
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
