そこで、MBSDは新たにお客様のWebサイトの把握・管理と、攻撃者から見える脆弱性の可視化を継続的に行うことができるSaaS型サービス「CAAV」を提供することとしました。お客様資産であるWebサイトの把握・管理、迅速な脆弱性対応を24時間365日支援いたします。
◆ 本サービスの特長とメリット
- インターネット上に公開しているWebサイトの発見と管理
- 自社や関連会社等が保有する管理すべきWebサイトを全自動に発見
- 発見したWebサイトはダッシュボード上で確認と管理が可能
- 管理するWebサイトに対して担当者の紐づけや、脆弱性対応管理等もダッシュボード上で完結
- Webサイトへの負荷ゼロ・担当者への事前調整が不要なセキュリティチェック
- セキュリティチェックは正常アクセス(一般ユーザーのアクセスと同じ)で毎日実施
- 正常アクセスのため、Webサイトの稼働への影響無し、IPS/WAF等によるアラート無し
- 機械学習を用いたレスポンス内容の分析による高度なセキュリティチェック、不適切な公開ファイルの把握
- 事前調整やサーバーの設定変更、不測の事態に備えて担当者が待機する必要も一切無し
- 広がるセキュリティ管理
- 自社Webサイトの把握や優先的に対応すべきWebサイトを把握することが可能
- Attack Surfaceの把握
- Webサイトを保護する施策(脆弱性診断やペネトレーションテスト、SOCサービスやFW/WAFの適用等)の検討材料として利用することが可能
◆ CAAVのコアエンジン「GyoiThon(ギョイソン)」(※2)
CAAVのコアエンジンには、Black Hat ArsenalやDEFCON Demo Labs等、数多くの有名なセキュリティカンファレンスで採択された実績を有する「GyoiThon」を採用しています。GyoiThonは、Webサイト上で稼働しているソフトウェアの把握やソフトウェアの脆弱性有無を自動検知するツールです。GyoiThonは弊社独自開発のAIエンジンを用いることで、従来のシグネチャマッチング(文字列のパターンマッチング)では検知できないソフトウェアの特徴を基に、Webサイトのソフトウェア構成を推測し、セキュリティチェックを実施することが可能となります。
◆ 本サービスのイメージ図
◆ サービス提供価格体系
- サービス利用時は月額課金となります。
- 契約期間や価格については、個別にお問い合わせ下さい。
◆ サービス提供開始日
- 2022年8月24日(水)
◆MBSDの提供するSaaS型サービス「CAAV」について、詳しくは次のWebサイトをご覧ください。
三井物産セキュアディレクション(MBSD)について
2001年にサイバーセキュリティの専門会社として設立、ペネトレーションテスト/TLPT/レッドチーム、Webアプリケーション/ネットワーク脆弱性診断等の各種診断サービス、マルウェア解析、統合ログ監視/Managed XDRサービス等の高度なセキュリティ技術サービス、コンサルティングサービス等を提供し、日本有数の高度セキュリティ技術人材が多数在籍する企業です。
(※1) CAAV(“カーブ”と呼ぶ)とはContinuous Assessment of Asset and Vulnerabilityの略称です。
(※2) GyoiThonは「御意!」という同僚の口癖とPythonを組み合わせた造語です。
<本件に関するお問い合わせ先>
三井物産セキュアディレクション株式会社
テクニカルサービス事業本部 R&D部
e-mail: ai-sec@mbsd.jp