クラウド時代のセキュリティに、新たな盲点が生まれている。外部に露出した攻撃面を監視する ASM(Attack Surface Management)は確かに有効だが、見つかるのは海面から頭をのぞかせたまさに氷山の一角に過ぎない。その下に潜む「設定ミス」「シャドー IT」「意図しない情報公開」これらの内部リスクは外からの監視だけでは見えてこない。
真のセキュリティ可視化には、外部視点と内部視点の「両輪」が必要だ。ASM で発見したクラウド上の資産を CSPM や CNAPP の継続的な監視対象に組み込み、外と内を連携させる統合アプローチ。気の利いた企業はすでにこの方法論を実践し始めている。
キヤノンITソリューションズ株式会社は、その最前線にいる企業の一つだ。同社はリーズナブルながら個性のある ASM ツールと CNAPP ツールを組み合わせて、「見えないリスク」を可視化する統合ソリューションを提供している。
今秋開催される Security Days Fall 2025 で「クラウドの死角、どう把握する? リスクを『見える化』するアプローチ」と題した講演を行う、キヤノンITソリューションズ株式会社 サイバーセキュリティラボ ペネトレーションテスト課 ペネトレーションテスター 新藤雅也(しんどう まさや)氏に話を聞いた。
--
● ASM で発見し CNAPP で監視のサイクル
―― 事前に共有いただいた資料で最も重要なポイントは ASM と CNAPP を統合して運用する提案だと思いました。統合するメリットについて教えてください。
Gartner などの調査会社は、今後 CNAPP のニーズが高まり重要になるという見通しを示しています。しかし日本国内でお客様の声を聞くと、まだ CNAPP の知名度や有用性の認知は十分ではありません。
CNAPP は「ここからここまでの範囲を守る」という定義のもと、対象範囲を可視化します。しかし IT 部門が知らないところで契約されているクラウドなどは CNAPP では把握しきれません。そこで ASM を使って外からも監視する必要があります。
それぞれを別々に使うだけでは、外側と内側のリスクが分断され管理しづらくなります。ASM で外から発見したクラウド上の資産を CNAPP で継続的に監視するサイクルを作る、今回の講演では、その重要性をお話しします。
● 偽ドメイン列挙機能ほか 多機能 ASM ツール「Menaya」
―― 紹介される ASMサービスで運用するASMツール「Menaya(メナヤ)」は、ダークウェブで流通する脆弱性情報なども参照する機能があるそうですね。
ASM の基本を押さえつつ、ダークウェブを含む 400 以上の OSINT ソースから、現状どのような攻撃手法が存在するか幅広く収集しているのが特徴です。
他の ASM にはあまりない機能として「偽ドメイン列挙機能」があります。当社の場合は「canon-its.co.jp」ですが、たとえば「n」がひとつ多いなどの類似ドメインを、ダークウェブやその他のソースから発見します。将来悪用される可能性のあるドメインを事前に見つけることができます。また、従業員のメールアドレスやパスワードがダークウェブに漏洩していた場合も、収集対象となります。
―― 経産省ガイドラインが定義する ASM よりも幅広く関連情報や、判断や対策の精度向上につながる情報を集める機能を追加しているということですね。
●わずか15 分で診断完了 CNAPPツール「Cyscale」
―― Menaya と統合運用する CNAPPツール「Cyscale」はどんな製品ですか?
CNAPPサービスで運用するツールであるCyscale(サイスケール)は大企業だけではなく、中堅・中小企業をターゲットに、使いやすさとわかりやすさを重視しているのがポイントです。たとえばクラウドにツールをつないで診断を開始してから完了するまでが約 15 分で完了します。クラウド資産の規模にもよりますが手軽に使い始められるのが特長です。
当社の CNAPP サービスはマネージドサービスですので検知やアラートをレポート形式でお客様にお伝えしますが、お客様自身にもツールのコンソールを公開しているので、直接触れていただくことも可能です。触ってみると非常にシンプルで、2 回か 3 回のクリックで課題とその対処方法まで把握することができます。
● 中小企業が納得感を持てる価格設定
―― キヤノンITソリューションズ株式会社が提供する IT インフラサービス「SOLTAGE」について、キヤノンITソリューションズならではの価値や、他の類似サービスとの違いを教えてください。
SOLTAGEは、お客様の課題や心情に寄り添うサービスで、大企業に限らず中小企業でも導入しやすいセキュリティサービスをラインナップしています。セキュリティはコストとして見られがちですが、中小企業様でもご導入いただけるよう導入に納得感を持っていただける価格設定にしています。
―― 今回の講演のなかで紹介されるもうひとつのサービス、NIST フレームワーク等で対策の現状をチェックする「セキュリティ対策診断サービス」が 25 万円という価格で提供されていることに驚きました。キヤノンITソリューションズのコンサルタントやエンジニアが稼働すると考えると、企業努力を感じる価格設定だと思います。
―― ところで今回は新藤さん以外の講演とブース出展もあるそうですね。
同じくサイバーセキュリティラボの西浦がゼロトラストセキュリティに関する講演を行います。
展示ブースでは、私の講演で紹介するセキュリティアセスメント系の 3 商材(ASMサービス、CNAPPサービス、セキュリティ対策診断サービス)と、西浦の講演で紹介するゼロトラストセキュリティの 3 商材(ID Entrance、Cato SASEクラウド、Mammoth Cyber Enterprise Browser)を展示・説明する予定です。
もうひとつランサムウェア対策の「AppCheck」も展示する予定で、広報によれば AppCheck は「売れに売れている」とのことで、是非その理由を確かめにお越しいただければと思います。
── ありがとうございました。
Security Days Fall 2025
東京講演 10.21(火) 14:10-14:50 | RoomA
「あなたの仕事環境、本当に安全ですか? 変化する働き方に対応する、安全で柔軟な業務環境の作り方」
キヤノンITソリューションズ株式会社
サイバーセキュリティラボ スレットハンティング課 課長
西浦 真一 氏
東京講演 10.23(木) 09:40-10:20 | RoomA
「クラウドの死角、どう把握する?リスクを『見える化』するアプローチ」
キヤノンITソリューションズ株式会社
サイバーセキュリティラボ ペネトレーションテスト課 ペネトレーションテスター
新藤 雅也 氏
