「GMOサイバー攻撃 ネットde診断 ASM」、自動脆弱性診断の結果画面をリニューアル【GMOサイバーセキュリティbyイエラエ】
CVSSスコアによる脆弱性評価とPoCタグで脆弱性の対応優先順位付けを速やかに
GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社(代表取締役CEO:牧田 誠 以下、GMOサイバーセキュリティ byイエラエ)は、2025年3月27日(木)に、ホワイトハッカーのノウハウを集約したアタックサーフェスマネジメント (Attack Surface Management、以下、ASM)(※1) ツール「GMOサイバー攻撃 ネットde診断 ASM」の自動脆弱性診断の結果表示画面をリニューアルしました。
今回のリニューアルではCVSSスコア(※2)を用いて客観的な脆弱性の危険度を提示し、さらに検出された脆弱性を実証するためのプログラムが公開されている場合は「PoC(Proof of Concept code 以下、PoC)」というタグを付与します。これによりユーザーが検出されたセキュリティの問題の一覧の中から、どれを優先的に対応すべきか速やかに判断(トリアージ(※3))できるようになります。
(※1) IT資産の脆弱性やリスクを継続的に検出・評価する取り組みのこと。
(※2) Common Vulnerability Scoring Systemの略でシステムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標のこと。
(※3) 脆弱性対応の優先順位や緊急度を判断する一連の評価と選択のこと。元々は医療の現場で使われる言葉で、事故現場などで多数の負傷者を評価し、治療の優先順位を決定することを意味する。
【これまでの自動脆弱性診断結果表示画面との比較】
これまでの「GMOサイバー攻撃 ネットde診断 ASM」の自動脆弱性診断では、診断結果として脆弱性の概要説明、対象のバージョン情報、検出したCVE(※4)の一覧を表示していました。今回のリニューアルでは「その脆弱性がどれくらい危険か」「早急に対処すべき問題であるか」をユーザーに適切に伝えるため、CVEごとの脆弱性の危険度をCVSSで評価するとともに、さらに脆弱性を実証するためのプログラム(PoC)が公開されている脆弱性においては攻撃者に悪用される可能性があり、迅速な対応が必要なことが、一目でわかるようタグ付けを行う仕様をアップデートしました。
(※4) Common Vulnerabilities and Exposuresの略で、公開されているセキュリティ上の脆弱性を識別するための共通の識別子のこと
■CVSSスコアとは
CVSS(Common Vulnerability Scoring System)とは、共通脆弱性評価システムと呼ばれる、情報システムの脆弱性に対するオープンで汎用的な評価手法です。ベンダーに依存しない共通の評価方法として、脆弱性の深刻度を同一の基準の下で定量的に比較するために用いられます。
(参考)https://www.ipa.go.jp/security/vuln/scap/cvss.html
■PoC(Proof of Concept code)とは
「PoC」はProof of Conceptの略であり、日本語では概念実証と訳されます。サイバーセキュリティ分野においては、主に公開された脆弱性が実際に悪用できるかどうかを実証するためのプログラムやコード(エクスプロイト・コード)を指します。PoCが公開された脆弱性は、攻撃者により悪用される可能性を考慮して早急に対処する必要があります。
【脆弱性トリアージの重要性】
■「GMOサイバー攻撃 ネットde診断 ASM」サービス責任者 市川 遼のコメント
限られた時間とリソースの中で、脆弱性対応を効率的に進めるためには、トリアージが不可欠です。サイバー攻撃のリスクが高まる現代では、新たな脆弱性が次々と発見されており、すべてを即座に対応することは現実的ではありません。そのため、危険性の高い脆弱性から優先的に対処することが求められます。
特に、PoCが公開された脆弱性は、攻撃者が容易に悪用できるため、短期間で攻撃の件数が急増する傾向にあります。その結果、標的となるリスクも格段に高まります。したがって、PoCが公開されている脆弱性から優先的に対処することは、トリアージの重要な判断基準の一つです。
【「GMOサイバー攻撃 ネットde診断 ASM」について】
(https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/)
「GMOサイバー攻撃 ネットde診断 ASM」は、簡単かつ直感的に使用が可能な国産ASMツールです。お客様の社名やサービス情報、IPアドレスをもとに、攻撃対象となる可能性があるWebサイトやネットワーク機器を特定し、定期的なセキュリティ診断を実施します。これにより、自社IT資産の棚卸とリスクの可視化を行うことができます。
【GMOサイバーセキュリティ byイエラエについて】
(https://gmo-cybersecurity.com/)
GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を目指して、各種脆弱性診断、ペネトレーションテスト、セキュリティコンサルタント、SOCサービス、フォレンジック調査まで包括的にサイバーセキュリティ対策サービスをご提供します。
以上
【 GMOサイバーセキュリティ byイエラエ株式会社】
(URL:https://gmo-cybersecurity.com/)
会社名 GMOサイバーセキュリティ byイエラエ株式会社
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役CEO 牧田 誠
事業内容 ■Webアプリ及びスマホアプリ脆弱性診断 ■ペネトレーションテスト
■不正利用(チート)診断 ■IoT脆弱性診断 ■自動車脆弱性診断
■フォレンジック調査 ■CSIRT支援 ■クラウドセキュリティ診断
■クラウドセキュリティ・アドバイザリー
資本金 1億円
【GMOインターネットグループ株式会社】(URL:https://www.gmo.jp/)
会社名 GMOインターネットグループ株式会社 (東証プライム市場 証券コード:9449)
所在地 東京都渋谷区桜丘町26番1号 セルリアンタワー
代表者 代表取締役グループ代表 熊谷 正寿
事業内容 持株会社(グループ経営機能)
■グループの事業内容
インターネットインフラ事業
インターネットセキュリティ事業
インターネット広告・メディア事業
インターネット金融事業
暗号資産事業
資本金 50億円
Copyright (C) 2025 GMO Cybersecurity by Ierae, Inc. All Rights Reserved.
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
すべての画像
