NRIセキュアテクノロジーズ(NRIセキュア)は2025年11月6日、アタックサーフェス管理(ASM)ソフトウェア「ASMimosa」を提供開始した。IT資産を探索してセキュリティリスクを評価し、対策を含めたレポートを経営層、管理者、現場担当者向けに作成する。セキュリティ担当者の作業負荷を減らしてASMを実施できるとしている。
NRIセキュアテクノロジーズ(NRIセキュア)の「ASMimosa(エーエスミモザ)」は、アタックサーフェス管理(ASM)ソフトウェアである。企業のIT資産を対象に、サイバー攻撃の起点となりうるアタックサーフェス(攻撃対象領域)を把握し、継続的にリスクを監視・管理する(図1)。
図1:「ASMimosa」の対応範囲(出典:NRIセキュアテクノロジーズ)拡大画像表示
セキュリティ担当者や現場の作業負荷を極力抑えることをコンセプトに開発したとしている。「企業のIT資産が増大する中、アタックサーフェスの可視化と継続的な監視のためにASMを導入する企業が増えている。しかし、誤検知や検出資産の管理者不明などの問題から、セキュリティ担当者には、その確認や報告書作成などで多くの作業負荷がかかっている」(NRIセキュア)。
ASMimosaは、独自の探索手法と生成AIによる資産判定の工程を繰り返して実施することで、手作業では見つけにくいIT資産を含めて資産候補を検出する。一般的なASMサービスで生じがちな誤検知を抑えるほか、管理者が不明のIT資産についても関連性の深い組織を自動的に予測するとしている(図2)。
図2:「ASMimosa」における探索・判定の仕組み(出典:NRIセキュアテクノロジーズ)拡大画像表示
探索したIT資産について、外部から調査可能な範囲でセキュリティリスクを評価する。評価には、ユービーセキュアのWebアプリケーション診断ツール「VexCloud」を用いる。対象システムに負荷を与えることなく正常アクセスの範囲で評価する。
ユーザー企業に、IT資産の一覧と、評価・分析の結果から推奨される対策を盛り込んだレポートを提出する。レポートは報告対象(経営層、全体管理者、現場担当者)ごとに異なる分析項目で作成する。経営層への報告や現場への依頼にそのまま活用できるという。
今後の機能拡張として、疑似攻撃を仕掛ける機能を2026年度以降に追加する。また、関連会社ごとに傾向を分析したレポートを作成する機能やダッシュボード機能の拡充などを予定している。
