ECサイトやWebアプリなど、インターネットを介して外部からアクセス可能なIT資産は、常にサイバー攻撃のリスクにさらされているといえる。こうしたIT資産のリスクを継続的に検出・評価し、軽減するための一連のプロセスのことを「ASM(Attack Surface Management)」と呼び、今や多くのツールが提供されるようになった。
しかし、ASMのプロセスや取り組みには絶対的な正解がないため、ツールの選定に際しては、まずIT資産の現状や脆弱性をはじめとするセキュリティの状況を把握した上で、ツールに求める要件を定義する必要がある。また、ASMはリスク低減効果が期待される一方で、検出アルゴリズムによっては偽陽性や偽陰性の情報が報告されるといった情報収集精度にも留意する必要がある。
本コンテンツでは、このASMツールを適切に導入・活用するためのポイントを、セキュリティエンジニアの視点から解説している。併せて、生成AIとWeb ASMとを組み合わせ、誰でも簡単に脆弱性診断と対策を可能にする方法も紹介しているので参考にしてほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。