AIを活用したサイバーリスク評価 プラットフォーム「BreachRisk」
サービス・商品概要
BreachRiskについて
米国海軍出身者が学習させたAIを活用し、そのAIによって自動的にリスクのある装置を発見することができます。短い間隔でインターネット上に公開されている装置のチェックを行うことで、客観的な目線で自組織をサイバー攻撃の脅威から守るためのリスク管理や、保守業者へのセキュリティ対策指示をセキュリティ専門家が不在でも的確に実行することが可能です。
特にAIによるハッカーの手法を真似した「ペネトレーションテスト」(侵入テスト)は、日々多彩な方法で攻撃をしてくるリアルなハッカー目線で、自社の外部に接続するIT資産のリスク評価をすることができます。
ASMとは(アタックサーフェスマネジメント)
BreachRiskは、セキュリティのカテゴリーの中でいうと「ASM」という部類に所属しています。
しかし「ASM」というワード、展示会やインターネットでよく目にすることはあっても、いまいちその定義が分からないという方もいらっしゃると思います。
「Attack Surface Management」の略称なのですが、まずは「Attack Surface」と「Management」の2つの単語に分けて考えていきましょう。
BreachRisk 4つの機能
ASMの流れとしては、「①自組織でどんなIT資産があるかの把握」「②IT資産がどんな状態であるかの把握 」「③IT資産に脆弱性があるかどうかの把握 」「④脆弱性を正すにはどんな対応が必要かの把握」の順番で行うのが一般的になっています。
BreachRiskは、全てのフローを網羅できるよう4つの機能を完備しており、サービスを使用していただくだけで、IT資産の把握からIT資産のスコアリングまで実施することができます。
ペネトレーションテスト 3つのカテゴリ
BreachRiskで主に実施するペネトレーションテストは、以下の3つのカテゴリーに分かれており、実際にハッカーによって使われている手法を使って、テストを行っています。これによって、より高い精度でのスコアリングを実現しています。
セキュリティ無料診断
ご興味を持っていただいたお客様に対して、セキュリティ無料診断として無料レポートのご提供を行っております。お名刺の情報(英語の会社名、会社のURL、担当者様のお名前、E-Mail)をいただければ7営業日程度でレポートをご提供いたします。
無料レポートでお出しできる内容ですが、例えば上記の画像のように、組織全体のリスクスコアを10点満点で評価させていただきます。
組織が抱える脅威の数であったり、その脅威のリスクレベルによって、スコアをお出しさせていただきます。
上記の画像のように、脅威のリスクレベルやどんな脅威があるかどうかをご提示させていただきます。無料レポートでは自組織が抱える脅威の種類やその数を確認することができます。有料版ですと、どのインスタンスにどんな脅威が存在するかを確認することができますので、ご検討いただけますと幸いです。
また、インターネット上に公開されているログイン情報数もご提示させていただきます。どのログイン情報が外部に漏れてしまっているかを無料レポートでは確認できませんが、有料版では具体的な漏洩しているログイン情報をお伝えさせていただきます。
他にも「ダークウェブ上に漏れているメールアドレスの数」なども確認できますので、セキュリティ無料診断の実施をおすすめしております!
※セキュリティ無料診断の内容は、2025年1月現在のものです。
導入をおすすめする業種
①医療機関
リモート保守用装置の侵入口を発見する、脆弱性や脅威の対応状況の把握ツールとして活用していただけます。
②情報通信事業者
自社で提供しているサービスや、パブリッククラウドの利用状況の可視化、ユーザに対するセキュリティアセスメントの一環として活用していただけます。
③サイバー保険提供事業者
顧客のサイバーリスクを簡単に洗い出し、顧客獲得のアセスメントとして活用していただけます。
お悩み
①セキュリティについて、何から対策をしていいかわからない
BreachRiskはデータの詐取や侵入リスクの検知に重きを置いております。そのため、一番対策を行わなければいけない点を明らかにし、セキュリティ脅威の対策を明確化します
②クラウドリソースの状況把握が難しい
一番攻撃されやすい外部環境の調査に際して、ヒアリングや実地調査などでは抜け漏れが発生することがあります。事業部が利用しているクラウドリソースの状況把握が難しく、時間を要しているお客様にもおすすめです。
なぜなら、BreachRiskは主要パブリッククラウドとの連携も可能で、管理者が関知しきれないサーバの増減や、空いているポート番号の検出なども把握することができ、セキュリティガバナンスの強化に注力することができます。
③開発環境やステージング環境の管理ができていない
各システム毎に主管担当が本番環境は年1回脆弱性検査を実施していたが、開発・ステージング環境については運用部署任せとなっておりリスク状態の把握ができていないとお悩みの方にもおすすめです。
攻撃者のトレンドや、最新の指標などを基に、定期的に確認を行うため、データ侵害や侵入など重大インシデントや事業継続に関わるセキュリティリスクを、外部から客観的に把握することが出来ます。
製品仕様
※価格につきましては、お問い合わせください。
実績
エネルギー産業
急速に成長するエネルギー産業の中で、他社と競合するには、短期間で企業を買収する必要があります。しかし、企業の成長にセキュリティ対策が追い付かず、会社内でサイバーセキュリティの成熟度レベルに差が出ていました。
また、ITインフラに専念できるスタッフやリソースが限られていることもあり、AIによる自動的なIT資産の評価・スケジューリングが必要になりBreachRiskを導入していただきました。
サービス開始から2週間内に、関連企業12社全てが抱えるリスクを把握し、6つの高リスクの脅威を発見いたしました。BreachRiskを導入してただいてから、かかえる脅威の数をおよそ25%削減することができております。
不動産会社
24か国で事業を展開し、150.000を超えるエージェントと子会社の不動産ブローカーをお持ちの、グローバルな不動産会社にBreachRiskを導入していただきました。グローバルに大規模なビジネスを展開していることから、ダイナミックなクラウド環境を基盤としています。しかし、小規模なチームでクラウドインフラストラクチャーのリスクに対応しているという課題に直面していました。
サービス開始時には、AWSおよびAzureをBreachRiskと連携していただいて、4つの高リスクの脅威をR&D環境で発見いたしました。また、高リスクの脅威が8つ発見されましたが、BreachRiskが提案する明確な対策を用いて、2週間以内に脅威の削除をすることができました。
医療機関
厚労省から、診療録管理体制加算の見直しの通達があり、医療情報のバックアップや業務継続計画(BCP)の対策の必要性が迫られるようになりました。とある医療機関様は、バックアップは例年通り実施できるものの、BCPについては実施ができておらず、これからもどう対策したらよいのか分からないというお悩みをお持ちでした。
「情報システム課のリソース不足」「担当者が定期的に変わるので、大きなチャレンジができない」というのが、BCPの実施に踏み切れていない理由でした。BreachRiskは脆弱性診断をはじめ、ペネトレーションテストもAIが自動的に実行するため、人員リソース不足の解決を叶えることができました。また、Breachriskは脆弱性それぞれに重み付けをするため、緊急性が高いものから是正していただくことで、効率的なセキュリティ対策を実施していただております。
よくある質問
Q1.ペネトレーションテストはIT機器に実害を与えるものなのでしょうか
A1.初期パスワードでログインできるかなどをテストするもので、機器類に実害を与えることはありません。
Q2.BreachRisk for Businessで対象は100IPまでとあるが、これはプライベートIPも含むのでしょうか?
A2.あくまでも外部から見えるIPになりますので、グローバルIPが対象になっております。
Q3.アメリカのクラウドサービスですが、ダッシュボードなどは英語表記でしょうか?
A3.はい、英語表記になっておりますが、右クリックgoogle翻訳で十分お使えいただけます。
また、経営層向けであったり、保守ベンダーに提出する日本語レポートのオプションもございますので、必要に応じてご利用いただけますと幸いです。
Q4.サポートはついていますか?
A4.基本的なサポートはついております。動作の不具合やサービスについての質問、機能追加のご要望など、ご遠慮なく弊社にお尋ねください。ダッシュボードの見方などを説明させていただく場もご用意させていただきます。
※記載された社名、製品名、ロゴマークは各社の商標または登録商標です。
お問い合わせ先
こちらの商品・サービスに関するご相談・ご質問は
以下の窓口まで、お問合せください。
資料請求
製品・サービスに関する
資料のご請求はこちらから