アシストは2023年4月7日、アタックサーフェス管理(外部攻撃対象領域管理:ASM)サービス「Tenable.asm」(米テナブルが開発)を販売開始すると発表した。サイバー攻撃者のターゲットとなりえる、インターネットに公開しているIT資産を調査・管理するサービスである。SaaS型クラウドサービスとして提供する。価格(税別)は、監視対象65オブジェクトで年額38万円。
アシストが販売を開始した「Tenable.asm」(米テナブルが開発)は、アタックサーフェス管理(外部攻撃対象領域管理:ASM)サービスである(画面1)。サイバー攻撃者のターゲットとなりえる、インターネットに公開しているIT資産を、攻撃者の視点で継続的に確認する。こうして、目に見えないリスクを可視化する。SaaS型クラウドサービスとして提供する。
図1:アタックサーフェス管理サービス「Tenable.asm」のダッシュボード画面(出典:アシスト)拡大画像表示
「業務現場が主導する形でSaaSの利用やWebサーバーの公開が手軽になった反面、IT部門が把握していないサーバーの公開、不要なサービスの稼働、ポートの公開といった問題が増えている。一方、脆弱性を突く攻撃は巧妙さを増し、守るべき資産の明確化とリスク評価に基づく対処が求められている」(アシスト)
Tenable.asmは、インターネットに公開しているIT資産をダッシュボードで可視化する。指定したドメイン名に関連した公開サーバーやネットワーク機器など、インターネットに接続したすべての既知・未知の資産の情報を収集する。
期限切れのSSL/TLS証明書や、CVEなどの脆弱性が存在するインベントリを把握できる。VPNサービスやRDP(Remote Desktop Protocol)が稼働している資産の数、Webサイト数などの推移を、カテゴリごとに表示する。
実行中のサービスや使用ポートなど、200超の項目の資産情報を収集可能である。想定する検索条件をあらかじめ用意しており、一覧の資産情報を容易にソート/フィルタリング可能であるため、余計な情報を省き、必要な情報を把握しやすい。
ポリシーに違反する資産を検出した際には、メールやSlackなどで管理者に通知可能。Log4shellに該当する資産など、多くのポリシーをあらかじめ用意している。これらから選ぶだけで、容易にポリシーを登録可能である。
脆弱性管理サービス「Tenable.io」と連動させる使い方もできる。Tenable.asmで確認したIT資産をTenable.ioでスキャンし、詳細に脆弱性リスクを評価可能。Tenable.ioは、ミドルウェアのバージョンやパッチ適用状況などを調べてTenableの脆弱性情報と照合し、脆弱性を検知してリスクを評価するツールである(関連記事:脆弱性検査ツールのTenable、日本のエンジニアや営業を増員)。
