GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエは、自動脆弱性診断・ASM(攻撃対象領域管理)ツール「GMOサイバー攻撃 ネットde診断」の診断機能を2024年4月1日に拡張しました。これにより、統合脅威管理(UTM)開発メーカーの米フォーティネット社が提供する「FortiGate」の脆弱性診断に対応しました。
自動脆弱性診断・ASM(攻撃対象領域管理)ツール「GMOサイバー攻撃 ネットde診断」のWebサイト
初心者でも使いやすい国産ASM「GMOサイバー攻撃ネットde診断」
ASMとは「Attack Surface Management」の略で、インターネットからアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性などのリスクを継続的に検出・評価する取り組みを指します。
GMOサイバー攻撃 ネットde診断は、そのASMを初心者でも扱えるようにした国産ASMツールです。顧客の社名やサービス情報を基に、攻撃対象となる可能性があるWebサイトやネットワーク機器を洗い出し、定期的なセキュリティ診断をツールによって行います。定期的な診断により、自社のIT資産の棚卸しとサイバー攻撃リスクの可視化を簡単に行える点が特徴です。
2024年4月1日に診断機能のアップデートを行ったことで、拡大するVPN機器に関する脆弱性管理のニーズに対応しました。
GMOサイバー攻撃 ネットde診断は、そのASMを初心者でも扱えるようにした国産ASMツールです。顧客の社名やサービス情報を基に、攻撃対象となる可能性があるWebサイトやネットワーク機器を洗い出し、定期的なセキュリティ診断をツールによって行います。定期的な診断により、自社のIT資産の棚卸しとサイバー攻撃リスクの可視化を簡単に行える点が特徴です。
2024年4月1日に診断機能のアップデートを行ったことで、拡大するVPN機器に関する脆弱性管理のニーズに対応しました。
自動定期診断とアラート通知機能で「FortiGate」に潜在する脆弱性を早期発見
GMOサイバー攻撃 ネットde診断では、FortiGateに関する以下の項目を検出可能です。
<診断項目>
・デバイスの検出
・管理画面(ログインフォーム)
・デフォルトクレデンシャル
・Webコンソールベースの情報漏洩(CVE-2018-13379)
・Webコンソールベースのリモートコード実行(RCE) (CVE-2022-40684)
・ヒープオーバフロー(CVE-2022-42475)
※CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)とは、脆弱性対策情報の共有を容易にする目的で、米国政府の支援を受けた非営利団体のMITRE社が、脆弱性ごとに個別に識別番号(CVE)を採番したもの
FQDN(※)に対する脆弱性診断を実施するため、FortiGateのすべてのモデルを診断できます。公表済みの脆弱性(既知の脆弱性)は攻撃者によって悪用される可能性がありますが、GMOサイバー攻撃 ネットde診断で定期的な自動診断を行い、アラート通知機能を活用することで、早急に対処が必要な既知の脆弱性の存在をいち早く知ることができます。
※FQD(Fully Qualified Domain Name:完全修飾ドメイン名)とは、ホスト名とドメイン名を省略せずに記述した絶対表記のこと
<診断項目>
・デバイスの検出
・管理画面(ログインフォーム)
・デフォルトクレデンシャル
・Webコンソールベースの情報漏洩(CVE-2018-13379)
・Webコンソールベースのリモートコード実行(RCE) (CVE-2022-40684)
・ヒープオーバフロー(CVE-2022-42475)
※CVE(Common Vulnerabilities and Exposures:共通脆弱性識別子)とは、脆弱性対策情報の共有を容易にする目的で、米国政府の支援を受けた非営利団体のMITRE社が、脆弱性ごとに個別に識別番号(CVE)を採番したもの
FQDN(※)に対する脆弱性診断を実施するため、FortiGateのすべてのモデルを診断できます。公表済みの脆弱性(既知の脆弱性)は攻撃者によって悪用される可能性がありますが、GMOサイバー攻撃 ネットde診断で定期的な自動診断を行い、アラート通知機能を活用することで、早急に対処が必要な既知の脆弱性の存在をいち早く知ることができます。
※FQD(Fully Qualified Domain Name:完全修飾ドメイン名)とは、ホスト名とドメイン名を省略せずに記述した絶対表記のこと
経産省「情報セキュリティサービス基準」に適合し、複数のガイドラインに準拠
GMOサイバー攻撃 ネットde診断は、経済産業省が定める「情報セキュリティサービス基準」に適合しています。また情報処理推進機構セキュリティセンター(IPA)が発行する「安全なウェブサイトの作り方」や、ソフトウェア開発におけるセキュリティ対策を推進する国際的な非営利団体のOWASPが公表するWebアプリケーション・セキュリティに関する最も重大な10のリスク「OWASP Top 10」、さらにデジタル庁が発行する「政府情報システムにおける 脆弱性診断導入ガイドライン」などの、Webサイト等のセキュリティに関する基準・ガイドラインに対応しています。
現在、クレジットカード業界のセキュリティ基準「PCI DSS」に準拠した脆弱性スキャンを行う資格を有するベンダー「ASV」認定取得についても準備を進めており、さまざまな基準やガイドラインに準拠、適応した国産脆弱性診断・ASMツールとしてさらなる発展を目指しています。
現在、クレジットカード業界のセキュリティ基準「PCI DSS」に準拠した脆弱性スキャンを行う資格を有するベンダー「ASV」認定取得についても準備を進めており、さまざまな基準やガイドラインに準拠、適応した国産脆弱性診断・ASMツールとしてさらなる発展を目指しています。
VPNの脆弱性による重大インシデントも発生し、対策が重要に
FortiGateは、日本の市場シェア1位を誇るUTMで、セキュリティ対策として業種を問わず多くの企業が導入しています。ファイアウォールとしての機能はもちろん、新型コロナウイルスの流行を契機に日本国内でテレワークの導入が進むにつれて、自宅と社内ネットワークを接続するためのVPN(仮想専用線ネットワーク)として利用される機会も増えました。
VPN機器の脆弱性や設定ミスを適切に管理していない場合、重大なサイバー攻撃の被害に遭う場合があります。2022年に大阪急性期・総合医療センターのランサムウェア感染により電子カルテの暗号化や外来診療や一部の検査などの業務停止を余儀なくされたケースでは、ランサムウェアの侵入口は給食委託事業者のVPN機器の脆弱性を利用されたものでした(調査報告書はこちら)。
2023年には名古屋港のコンテナ管理システムがランサムウェアに感染し、約3日間にわたってコンテナ搬入搬出が停止し、物流に大きな影響を与えました。このケースもVPN 機器からの侵入が行われたと見ることが適切とされています(調査報告書はこちら)。
コロナ禍が収束してから通勤に戻る企業が増えてはいるものの、テレワークによって、物理的な場所の制約がなくなって多様な人財の雇用や活用ができる、オフィス賃料や設備代などの固定費を削減できる、家庭との両立がしやすくなってワークライフバランスが向上するなど、企業も従業員も多くのメリットを実感できるようになりました。
オフィスでの直接的なコミュニケーションが減少する、チームワークや情報共有に影響を及ぼす、従業員の管理が難しくなるなどのデメリットもありますが、それらは通勤とテレワークを組み合わせることで解消できます。
テレワークを廃止する企業があるものの、VPNを利用して企業外から業務システムにアクセスする業務形態は増えていくことでしょう。そうした中で企業はVPNを安全に活用するためのセキュリティ対策が重要になってきます。VPNを積極的に活用している、もしくは今後活用を検討している企業の担当者は、こうしたサービスの活用を検討してみてはいかがでしょうか。
VPN機器の脆弱性や設定ミスを適切に管理していない場合、重大なサイバー攻撃の被害に遭う場合があります。2022年に大阪急性期・総合医療センターのランサムウェア感染により電子カルテの暗号化や外来診療や一部の検査などの業務停止を余儀なくされたケースでは、ランサムウェアの侵入口は給食委託事業者のVPN機器の脆弱性を利用されたものでした(調査報告書はこちら)。
2023年には名古屋港のコンテナ管理システムがランサムウェアに感染し、約3日間にわたってコンテナ搬入搬出が停止し、物流に大きな影響を与えました。このケースもVPN 機器からの侵入が行われたと見ることが適切とされています(調査報告書はこちら)。
コロナ禍が収束してから通勤に戻る企業が増えてはいるものの、テレワークによって、物理的な場所の制約がなくなって多様な人財の雇用や活用ができる、オフィス賃料や設備代などの固定費を削減できる、家庭との両立がしやすくなってワークライフバランスが向上するなど、企業も従業員も多くのメリットを実感できるようになりました。
オフィスでの直接的なコミュニケーションが減少する、チームワークや情報共有に影響を及ぼす、従業員の管理が難しくなるなどのデメリットもありますが、それらは通勤とテレワークを組み合わせることで解消できます。
テレワークを廃止する企業があるものの、VPNを利用して企業外から業務システムにアクセスする業務形態は増えていくことでしょう。そうした中で企業はVPNを安全に活用するためのセキュリティ対策が重要になってきます。VPNを積極的に活用している、もしくは今後活用を検討している企業の担当者は、こうしたサービスの活用を検討してみてはいかがでしょうか。
ASMの一連の流れを体験できるトライアルを実施中
GMOサイバー攻撃 ネットde診断では、2週間でASMの一連の流れを体験できるトライアルを実施しています。トライアル期間内で、自社が保有するWebサイトやネットワーク機器を洗い出し、セキュリティ診断まで実施するというものです。
また診断結果に対して、報告会を通じて専門家による助言を受けることが可能です。社内の各部署で次々に立ち上がるWebサイトの脆弱性管理に不安がある場合や、全社で保有するVPN機器の診断を行いたい場合は、「GMOサイバー攻撃 ネットde診断エンタープライズ」のWebサイトからお問い合わせください。
また診断結果に対して、報告会を通じて専門家による助言を受けることが可能です。社内の各部署で次々に立ち上がるWebサイトの脆弱性管理に不安がある場合や、全社で保有するVPN機器の診断を行いたい場合は、「GMOサイバー攻撃 ネットde診断エンタープライズ」のWebサイトからお問い合わせください。
安蔵 靖志
Techジャーナリスト/家電エバンジェリスト
家電製品協会認定 家電製品総合アドバイザー(プラチナグレード)、スマートマスター。AllAbout デジタル・家電ガイド。ビジネス・IT系出版社を経てフリーに。デジタル家電や生活家電に関連する記事を執筆するほか、家電のスペシャリストとしてテレビやラジオ、新聞、雑誌など多数のメディアに出演。KBCラジオ「キャイ~ンの家電ソムリエ」にレギュラー出演するほか、ラジオ番組の家電製品紹介コーナーの商品リサーチ・構成にも携わっている。
-
1
他人の生きざまに触れると人生観が変わるかも!? ──独立系書店店主...
-
2
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリー...
-
3
「たこ焼き器」で作る“たこ焼き以外レシピ”は予想以上においしくて楽しい
-
4
オンラインで買ってお店で受け取る、ユニクロの「店舗受取り」と「OR...
-
5
今日からできる、「なんかいいな」と思わせる写真の撮り方
-
Webサイト事業者の信頼性を可視化する「サイバー攻撃対策サイトシール」の提供をGMOインターネットグループが開始
-
Webサイトやドメイン、SNS等におけるブランド毀損への全方位的な対処をサポートする「GMOエンフォース1」を提供開始
-
ウェブ広告の透明性と品質が向上!GMO NIKKO「ReeMo」が「Squad beyond」の「ランディングページ審査機能」と連携
-
国内最大級のドローン・eVTOL国際展示会、GMOインターネットグループのブースでは約1000人が空飛ぶクルマVR飛行を体験~Japan Drone/次世代エアモビリティEXPO 2024レポート
-
GMOイエラエ、国際的セキュリティコンテスト「HTB Business CTF」で国内1位、世界2位を獲得!
-
GMOイエラエ、セキュリティスキル・知識を競う「LINE CTF 2024」で世界2位、国内1位を獲得
-
1
他人の生きざまに触れると人生観が変わるかも!? ──独立系書店店主が選ぶ「自伝・ノンフィクション」5選
-
2
ダイソー・セリア・キャンドゥ 100円ショップのパソコン周りクリーナーおすすめ6種を試してみた
-
3
「たこ焼き器」で作る“たこ焼き以外レシピ”は予想以上においしくて楽しい
-
4
オンラインで買ってお店で受け取る、ユニクロの「店舗受取り」と「ORDER & PICK」が絶妙に便利で楽しかった
-
5
今日からできる、「なんかいいな」と思わせる写真の撮り方