サイバー攻撃の起点となる外部公開IT資産
近年、企業がインターネット上に公開しているWebサイトやVPNなどのIT資産を狙うサイバー攻撃が急増しています。これらの外部からアクセス可能な資産は、攻撃者にとって格好の侵入口となり得ます。特に、パッチ未適用の脆弱性やサポート切れ製品、管理されていない検証環境やサブドメインなどが放置されている場合、既知の脆弱性が悪用されるリスクが高まるとされています。
大企業やグループ企業では、事業部門やグループ会社ごとにWebサイトやサーバーが立ち上げられることが多く、情報システム部門が全容を把握しきれない「野良資産」が生まれやすい構造にあると指摘されています。こうした管理外の公開資産は、脆弱性が放置されたり、セキュリティポリシーが適用されていなかったりするリスクを抱えたまま、攻撃者の目に晒されることとなり、企業にとって最大のリスク要因となり得ます。
年1回の脆弱性診断では不十分か
多くの企業では、ランサムウェア対策への関心が高まる一方で、対策が「侵入後の検知・復旧」に偏りがちである現状が見られます。しかし、ランサムウェア被害につながる初期侵入の入口としては、外部公開資産、VPN、リモートアクセス機器、公開サーバー、古いWebサイト、未修正の既知脆弱性、サポートが終了したソフトウェア、設定不備などが問題となり得ます。侵入後の対策だけでなく、侵入前の「入口管理」が重要であるとされています。
外部公開資産はクラウド利用や検証環境、キャンペーンサイト、グループ会社、事業部門ごとのWebサイト運用などにより増え続けています。このため、年1回の脆弱性診断しか実施していない場合、診断と診断の間に新たに発生した脆弱性や、新たに公開された資産の存在に気づくことができないという課題があります。さらに、情報システム部門の管理台帳に載っていない、いわゆる「シャドーIT」は、どこに何が公開されているか把握できていない状況を生み、攻撃者のみがその存在を知るという危険な事態を招く可能性があります。このようなリスクに対処するためには、外部公開資産の網羅的な洗い出しと、高頻度での継続的な脆弱性診断の仕組みが不可欠です。
ASMによる継続監視で診断の死角をなくす
マジセミ株式会社は、GMOサイバーセキュリティ byイエラエ株式会社と共同で、「WebサイトやVPNなどの外部公開IT資産年1回の脆弱性診断だけで大丈夫?」をテーマとしたウェビナーを2026年7月24日(金)12:00から13:00に開催します。
本ウェビナーでは、ASM(Attack Surface Management)を活用し、外部公開資産を継続的に監視して診断の死角をなくすアプローチが紹介されます。ASMとは、インターネット上に公開されている自社のIT資産を攻撃者の視点で発見し、脆弱性やリスクを継続的に検出・評価する手法です。ウェビナーでは、GMOサイバーセキュリティ byイエラエ株式会社が提供する国産ASMツール「ネットde診断 ASM」を用いた具体的な運用方法が解説されます。
「ネットde診断 ASM」は、ドメインを登録するだけで関連するサブドメインやIPアドレスを含む外部公開資産を自動的に洗い出し、定期的な脆弱性診断を実施するといいます。重大な脆弱性が検出された際にはアラート通知が行われるため、情報システム部門が把握しきれていなかった資産のリスクも可視化できるとしています。
「自社にどれだけの公開資産があるか把握できていない」「年1回の診断だけでは不安がある」と感じる企業担当者は、本ウェビナーへの参加が推奨されます。
ウェビナー詳細・参加申込
主催・共催
GMOサイバーセキュリティ byイエラエ株式会社
マジセミ株式会社
ソース
マジセミ株式会社「『WebサイトやVPNなどの外部公開IT資産年1回の脆弱性診断だけで大丈夫?』というテーマのウェビナーを開催」
https://majisemi.com/e/c/gmo-cybersecurity-20260724/M1D