ASMサービス「CAAV」、シャドーSaaSを含む利用中のSaaSを自動リストアップするサービスを提供開始

三井物産セキュアディレクション株式会社 (本社：東京都中央区、代表取締役社長：鈴木大山、以下MBSD) は、自社開発のASM (Attack Surface Management) サービス「CAAV」(“カーブ”) において、お客様が利用中のSaaS (Software as a Service) やその他クラウドサービスを自動リストアップするサービスを新規にリリースしました。本サービスにより、お客様の管理者が把握していないSaaS（シャドーSaaS）を含むクラウドサービスが一元的にリストアップされます。このリストを適切に管理することでセキュリティリスクを軽減できます。

近年、クラウドシフトが進行し、営業支援システム（CRM）やWeb会議システムなど、ビジネスにおいて重要な役割を果たすSaaSの利用が拡大しています。これに伴い、SaaSの設定不備によるセキュリティインシデントが発生しており、多くの企業がリスクに直面しています。責任共有モデルに代表されるように、設定不備によるセキュリティインシデントは利用者が責任を負うため、お客様自身でクラウドサービスを正しく管理し、対策を行う必要があります。

このような状況を受け、CAAVでは2022年のローンチ以来提供している公開資産[i]のリストアップを強化し、お客様が利用するSaaSやその他クラウドサービスを自動リストアップするサービスの提供を開始しました。本サービスにより、お客様の管理者が把握していないSaaS（シャドーSaaS）を含むクラウドサービスを一覧で管理可能となるため、セキュリティリスクの把握・対策を的確に行えます。

●    シャドーSaaS検出のイメージ

●    CAAVとは

CAAVは、国際カンファレンスで高く評価された弊社独自のツール (GyoiThon)[ii]をベースにした、誰でも簡単に利用できるシンプルな純国産ASMサービスです。CAAVは、WebサーバーやVPN機器などのネットワーク機器を含むお客様の公開資産と、これらに存在する脆弱性の発見・管理までをワンストップで提供し、ASMで大きな課題となるお客様の運用負担を軽減します。CAAVの詳細については、サービス紹介ページ[iii]をご参照ください。

これまで多くのお客様にCAAVをご利用いただいておりますが、今後もお客様の企業ブランドを守り続けるため、より一層CAAVは進化し続けてまいります。

三井物産セキュアディレクション(MBSD)について

2001年にサイバーセキュリティの専門会社として設立、ペネトレーションテスト/TLPT/レッドチーム、Webアプリケーション/ネットワーク脆弱性診断などの各種診断サービス、マルウェア解析、統合ログ監視/Managed XDRサービスなどの高度なセキュリティ技術サービス、コンサルティングサービスなどを提供し、日本有数の高度セキュリティ技術人材が多数在籍する企業です。

---

[i] WebサイトやDNSサーバー、ルーターなど、インターネット上に公開されているサーバーやネットワーク機器を公開資産と呼んでいます

[ii] GyoiThon® (“ギョイソン”)。Black Hat ArsenalやDEFCON DemoLabsなどの世界的カンファレンスで発表した実績があります。詳細はこちら：https://caav.jp/gyoithon/

[iii] サービス紹介ページはこちら：https://caav.jp/

CAAVおよびGyoiThonは三井物産セキュアディレクションの登録商標です。