[新製品・サービス]

2023年1月23日(月)日川 佳三（IT Leaders編集部）

リスト

　JBCCの「Attack Surface診断サービス」は、アタックサーフェス（攻撃対象領域）診断サービスである。公開サーバーやサービスなど、サイバー攻撃で狙われやすいインターネット上のIT資源を調査してレポートする（図1）。さらに、検出したセキュリティリスクに対する対策案やロードマップを、定期的な報告会で提言する。

図1：アタックサーフェス（攻撃対象領域）診断サービス「Attack Surface診断サービス」で検出する、攻撃対象となるIT資源の例（出典：JBCC）
拡大画像表示

　パロアルトネットワークスのアタックサーフェス管理ツール「Cortex Xpanse」を用いる。JBCCは、同ツールのライセンスをユーザーに販売すると共に、同ツールを使った診断を代行する。また、管理ツールによる診断だけでなく、ヒアリングも実施し、診断結果とヒアリング結果からユーザーに適した対策を提案する。

　診断では、ドメインやIPアドレスなどを起点に、サイバー攻撃の侵入経路となり得るインターネット上のIT資源を見つけ出す。各部門で個別に構築したクラウド環境や、管理者が不明なまま最新の状態になっていないVPN装置、子会社や海外拠点のIT資産など、情報システム部門がこれまで把握または管理できていなかったIT資源を可視化する。

　組織の規模やライセンスの有無などに応じて3つのプランを提供する。(1)Attack Surface診断サービスの基本プランは、Cortex Xpanseのライセンスを含まない診断のみのプランで、ユーザーが自前でCortex Xpanseを契約・購入している必要がある。(2)同サービスの「Plus Standardプラン」は大企業向けで、IT資源のデータを1日に1回更新する。(3)同サービスの「Plus Lightプラン」は社員5000人未満の企業向けで、スポット調査型ライセンス「Cortex Xpanse Assess）を用いて診断する（診断回数は契約によって異なり、最小で年間4回）。