Webサイトの把握と脆弱性管理を行うサービス「CAAV」を提供開始

一般に大手企業では規模が大きくなるほど、自社や関連会社が保有するWebサイトの数が多くなり、その全容を把握することは難しくなっています。特に企業が一時的に利用したキャンペーンサイトや製品のプロモーションサイト、委託先で公開されるサイト等はクローズされずに公開され続けることがしばしばあります。放置されたサイトでは、適切なセキュリティパッチや対策が行われないため、脆弱性のあるソフトウェアを狙ったサイバー攻撃を受けるケースが散見されます。また、管理下にあるWebサイトであっても、毎日新たな脆弱性が多数発見される中、全ての情報を人の手で調査・対応することは非常に困難であり、Webサイトの担当者にとって大きな負荷となっています。
そこで、MBSDは新たにお客様のWebサイトの把握・管理と、攻撃者から見える脆弱性の可視化を継続的に行うことができるSaaS型サービス「CAAV」を提供することとしました。お客様資産であるWebサイトの把握・管理、迅速な脆弱性対応を24時間365日支援いたします。

【Webブラウザで見るCAAVのダッシュボード (管理画面)】

◆ 本サービスの特長とメリット

• インターネット上に公開しているWebサイトの発見と管理
  • 自社や関連会社等が保有する管理すべきWebサイトを全自動に発見
  • 発見したWebサイトはダッシュボード上で確認と管理が可能
  • 管理するWebサイトに対して担当者の紐づけや、脆弱性対応管理等もダッシュボード上で完結
• Webサイトへの負荷ゼロ・担当者への事前調整が不要なセキュリティチェック
  • セキュリティチェックは正常アクセス(一般ユーザーのアクセスと同じ)で毎日実施
  • 正常アクセスのため、Webサイトの稼働への影響無し、IPS/WAF等によるアラート無し
  • 機械学習を用いたレスポンス内容の分析による高度なセキュリティチェック、不適切な公開ファイルの把握
  • 事前調整やサーバーの設定変更、不測の事態に備えて担当者が待機する必要も一切無し
• 広がるセキュリティ管理
  • 自社Webサイトの把握や優先的に対応すべきWebサイトを把握することが可能
  • Attack Surfaceの把握
  • Webサイトを保護する施策（脆弱性診断やペネトレーションテスト、SOCサービスやFW/WAFの適用等）の検討材料として利用することが可能

◆ CAAVのコアエンジン「GyoiThon(ギョイソン)」(※2)

GyoiThon ロゴ

CAAVのコアエンジンには、Black Hat ArsenalやDEFCON Demo Labs等、数多くの有名なセキュリティカンファレンスで採択された実績を有する「GyoiThon」を採用しています。GyoiThonは、Webサイト上で稼働しているソフトウェアの把握やソフトウェアの脆弱性有無を自動検知するツールです。GyoiThonは弊社独自開発のAIエンジンを用いることで、従来のシグネチャマッチング（文字列のパターンマッチング）では検知できないソフトウェアの特徴を基に、Webサイトのソフトウェア構成を推測し、セキュリティチェックを実施することが可能となります。

◆ 本サービスのイメージ図

サービスイメージ図

◆ サービス提供価格体系

• サービス利用時は月額課金となります。
• 契約期間や価格については、個別にお問い合わせ下さい。​

◆ サービス提供開始日

• 2022年8月24日（水）

◆MBSDの提供するSaaS型サービス「CAAV」について、詳しくは次のWebサイトをご覧ください。

• https://caav.jp/

三井物産セキュアディレクション(MBSD)について
2001年にサイバーセキュリティの専門会社として設立、ペネトレーションテスト/TLPT/レッドチーム、Webアプリケーション/ネットワーク脆弱性診断等の各種診断サービス、マルウェア解析、統合ログ監視/Managed XDRサービス等の高度なセキュリティ技術サービス、コンサルティングサービス等を提供し、日本有数の高度セキュリティ技術人材が多数在籍する企業です。

(※1) CAAV(“カーブ”と呼ぶ)とはContinuous Assessment of Asset and Vulnerabilityの略称です。
(※2) GyoiThonは「御意！」という同僚の口癖とPythonを組み合わせた造語です。

＜本件に関するお問い合わせ先＞
三井物産セキュアディレクション株式会社
テクニカルサービス事業本部 R&D部
e-mail: ai-sec@mbsd.jp