ブログ

サイバーセキュリティ対策プラットフォーム「CAAV」の紹介

2023.7.5

はじめまして。
CAAVの立ち上げから開発・運用全般に携わっている高江洲(たかえす)です。

CAAVは2022年8月24日にローンチし、お陰様で多くのお客様にご利用いただいております。
ローンチから約1年が経過するこのタイミングで、私たちがCAAVにかける想いやCAAVでできること、これからのロードマップ、機能紹介、そして小話などをブログ形式で紹介していきます!

第1回目のこのブログではCAAVを皆様に知っていただくために、CAAVでできることや私たちがCAAVにかける想い、そして、CAAVの将来像を紹介します。


CAAVとは


CAAVContinuous Assessment of Asset and Vulnerability)」は、お客様の資産であるWebサイトやDNSサーバー、ルーターなど、インターネット上に公開されているサーバーやネットワーク機器(以下、「公開サーバー」と呼ぶ)の把握・管理と、公開サーバーに存在する脆弱性の可視化継続的に行うことができるSaaS型サービスです。

CAAVロゴ(継続的に資産と脆弱性を把握・管理する様を表現)


一般に大手企業では規模が大きくなるほど、自社や関連会社が保有する公開サーバーの数が多くなり、その全容を把握することは難しくなっています。特に企業が一時的に利用したキャンペーンサイトや製品のプロモーションサイト、委託先で公開されるWebサイトなどはクローズされずに公開され続けることがしばしばあります。

放置されたWebサイトなどの公開サーバーでは、適切なセキュリティパッチや対策が行われないため、脆弱性のあるソフトウェアを狙ったサイバー攻撃を受けるケースが散見されます。また、管理下にある公開サーバーであっても、毎日新たな脆弱性が多数発見される中、全ての情報を人の手で調査・対応することは非常に困難であり、サーバーの担当者にとって大きな負担となっています。

そこでCAAVでは、キャッチコピー「ここから始める脆弱性管理」を掲げ、サイバーセキュリティ対策の第一歩となる公開サーバーの把握・管理と、脆弱性の可視化を自動的・継続的に行うことができる、ASM(Attack Surface Management)型のサービスを提供します。

これにより、お客様の迅速な脆弱性の把握と対応を24時間365日支援します。


CAAVの特徴とメリット


CAAVには2つの大きな特徴が備わっています。

  • ・インターネット上に公開しているサーバーの発見と管理
  • ・サーバーへの負担ゼロ・関係者への事前調整が不要なセキュリティチェック

以下はCAAV利用時のイメージ図です。

CAAV利用時のイメージ図

この図の通り、お客様の会社名をCAAVに登録すると、CAAVはお客様が保有する公開サーバーの発見(棚卸し)と、セキュリティチェック(脆弱性の把握)一気通貫・全自動で実行し、その結果をダッシュボードに表示します。
この動作は継続的に自動実行されるため、お客様の手を煩わせることなく、迅速に・タイムリーに自社の公開サーバーと脆弱性の状況を把握・管理することができます。

次に各特徴を詳しく説明していきます。


インターネット上に公開している「サーバーの発見と管理」


CAAVはお客様が保有する公開サーバーを自動的・継続的に発見(棚卸し)することができます。
棚卸しの際、お客様による煩雑な操作は一切不要です。お客様がただ一つすべきことは「CAAVに自社の名前を登録」することのみであり、その後の棚卸しは全てCAAVが自動的に実行します。

CAAVはお客様にご登録いただいた会社名を基に、弊社が独自開発したアルゴリズムを使用してお客様が保有する公開サーバーを全自動で発見していきます。

以下の図は、CAAVに登録した弊社の社名「Mitsui Bussan Secure Directions, Inc.」を基に棚卸しを実行した結果を示しています。

弊社の公開サーバーの一覧が表示された様子


上図のように、弊社が保有する「www.mbsd.jp」や「note.mbsd.jp」、また、「caav.jp」という会社名が入っていない公開サーバーでも独自の検出方法により発見することができます。

CAAVでは、このような棚卸しを継続的に自動実行していくことで、お客様の管理から漏れていた公開サーバーや新規に立ち上げたサーバーなどを次々とタイムリーに発見・管理することができます。


サーバーへの負担ゼロ・関係者への事前調整が不要な「セキュリティチェック」


CAAVは棚卸しで発見した公開サーバーのセキュリティ状態を継続的に可視化することができます。
このセキュリティチェックでは「お客様の操作は一切不要」であり、全てCAAVが自動的に実行します。

CAAVのセキュリティチェックでは、公開サーバーにアクセスして応答された情報を弊社が独自開発した高度な機械学習技術などで分析し、サーバー上で稼働しているソフトウェアやバージョン、そして関連する脆弱性情報(CVE-ID)、その他、サーバー証明書の有効期限切れや機微情報を含むコンテンツが公開されているといったサーバー設定不備などの情報を自動的に収集します。

セキュリティチェックは全て正常アクセス(一般ユーザーの正常なアクセスと同じ)で実行されます(非破壊)。
このため、サーバーへの影響は少なく、不正検知を行う製品(IDS/IPSやWAFなど)がアラートを上げる心配もありません。それゆえに、関係者への事前調整や、セキュリティチェックの実行中、不測の事態に備えてお客様が待機しておく必要がないため、お客様に負担をかけずにセキュリティ状態を可視化することができます。

以下の図は、弊社の公開サーバーに対してセキュリティチェックを実行した結果(サンプル)を示しています。

脆弱性情報の一覧が表示された様子


その他、検出された脆弱性の詳細情報も参照することができ、具体的なリスクや対策を確認することもできます。また、脆弱性が検出されたサーバーの担当者に対し、CAAV上から対応指示を出すこともできます。

脆弱性の詳細情報(脆弱性の対応指示を出すこともできる)


このように、CAAVでは公開サーバーの棚卸しからセキュリティチェックまで一気通貫・全自動・継続的・非破壊で実行することで、お客様の手を煩わせることなく、迅速に・タイムリーに自社保有の公開サーバーの把握・管理と、セキュリティ状態の可視化を行うことができます。



このCAAVを裏で支えているのが、弊社が誇る「GyoiThon(ギョイソン)」と呼ばれる弊社独自開発のセキュリティチェックツールです。


CAAVのコアエンジン「GyoiThon」


GyoiThonは公開サーバーの把握とセキュリティチェックを非破壊・全自動で実行するセキュリティツールです。GyoiThonは上記の行為をリモートアクセスで行うことができるため、チェック対象のサーバーにエージェントをインストールするといった事前設定は一切不要です(実施に手間がかからない)。

GyoiThonはこれまでに世界的に著名なハッカーカンファレンスであるBlack Hat ArsenalDEFCON Demo LabsSECCON Yorozu、そしてAV Tokyo Hiveなどで発表した実績を有しており、国内外から高い評価を受けています。

GyoiThonのロゴマーク


また、2020年の重要技術を纏めたGartnerのレポート「Gartner Top 10 Strategic Technology Trends For 2020」において、機械学習を使用した先進的なセキュリティチェックツールの一例として紹介されています。

CAAVは、世界で認められ、洗練されたGyoiThonをコアエンジンとして採用することで、品質の高いサービスをお客様に提供します。GyoiThonについて詳しく知りたい方は、以下のページをご覧ください。

https://caav.jp/gyoithon/


私たちがCAAVに込める想い


本ブログ執筆時点(2023年7月5日)のCAAVのバージョンは「1.1.1」です。

まだCAAVは歩み始めたばかりです。
私たちはCAAVをより一層進化させ、お客様に大きく貢献していきたいと考えています。

そこで、私たち「CAAV」チームが同じ方向を向き、CAAVをより発展させていくために、CAAVのミッション・ビジョンを言葉にしました。

ミッション
サイバーセキュリティ対策をユニバーサルデザインし、お客様の企業ブランドを守ること
 
ビジョン
・サイバーセキュリティ対策のハードルを下げ、対策への一歩を後押しします
・お客様に負担をかけないサイバーセキュリティ管理を提供します
・お客様にとって必要な、あらゆるサイバーセキュリティ対策を支援します
・常に新しい技術を追求し、CAAVは進化し続けます


ミッションにある「ユニバーサルデザイン」という言葉は一般的に、「文化・年齢・能力などの個人の違いに関わらず、できるだけ多くの人々が利用できることを目指した建築・製品・情報などの設計」を指します。

私たちはこの考え方をサイバーセキュリティ対策に適用し、様々な理由により対策への第一歩を踏み出せなかったお客様に対し、誰でも・簡単に・気軽にサイバーセキュリティ対策を実施できる、すなわちユニバーサルデザイン化されたサイバーセキュリティ対策を提供することで、お客様の企業ブランドを守っていきたいと考えています。

また、4つのビジョンは以下の想いを基に導き出しています。


サイバーセキュリティ対策のハードルを下げ、対策への一歩を後押しします


サイバーセキュリティ上の不安を感じていても、自社のセキュリティ状態を把握していない、どこから手を付けていいのか分からないお客様も多いと思います。そこで私たちは、CAAVを通してお客様が最初に手を付けるべき公開サーバーや脆弱性を可視化し、どこに・どれだけ・どのタイミングで・どのような対策を実施すればよいのか容易に判断できるようにしたいと考えています。


お客様に負担をかけないサイバーセキュリティ管理を提供します


どんなに素晴らしいサービスであっても、操作が難しい・情報量が多すぎる・利用に手間がかかるなどの制約がある場合、お客様に大きな負担を強いてしまいます。そこで私たちは、CAAVの機能をシンプルにし、ユーザインタフェースも分かり易くすることを心がけています。また、お客様による操作を極力減らし、多くの操作を自動化することで、お客様に負担をかけないサービスを提供したいと考えています。


お客様にとって必要な、あらゆるサイバーセキュリティ対策を支援します


サイバーセキュリティ対策は公開サーバーの脆弱性対応のみならず、SOCによる監視やFW、不正検知製品(IDS/IPSやWAFなど)による防御、脅威情報の迅速な把握など多岐にわたります。そこで私たちは、他の優れたソリューションと柔軟に連携することで、CAAV一つを利用すればお客様が必要とする対策にアクセスできる状態を作り出したいと考えています。


常に新しい技術を追求し、CAAVは進化し続けます


攻撃の手口は常に進化しており、それに合わせて対策も常に進化させなければなりません。そこで私たちは「お客様の企業ブランドを守る」ため、既知の対策技術の洗練化はもとより、常に新しい技術に目を向け、研究開発し、CAAVを進化させ続けたいと考えています。


私たちはCAAVにしかできない方法で「サイバーセキュリティ対策をユニバーサルデザイン」し、「お客様の企業ブランドを守る」ため、チーム一丸となって邁進いたします。


これからのCAAV


繰り返しになりますが、現在のCAAVはバージョン「1.1.1」です。

「お客様の企業ブランドを守る」ため、私たちはCAAVをバージョン「2.0.0」「3.0.0」…というように進化させ続けていきたいと考えています。 現在、CAAVご利用中のお客様からのご要望や世の中の動向、これから予測されるリスクなどを踏まえ、私たちは以下のようなサービスをCAAVで提供していきたいと考えています。

今後CAAVで提供したいサービス(一例)


  • ・検出された脆弱性の対策について助言し、お客様の脆弱性対応を支援する
  • ・脅威情報を迅速にキャッチし、お客様のレピュテーションリスク回避・低減を支援する
  • ・CAAVをプラットフォーム化し、お客様が必要とする対策にアクセスできるようにする

  • 私たちは常にお客様と向き合いながら、また、サイバーセキュリティの動向を常に把握しながらCAAVの品質を高め、そして方向性を定め、CAAVを進化させ続けたいと考えています。

    今後とも、CAAVを宜しくお願いいたします。



    CAAVにご興味のある方は、お気軽にお問い合わせください。
    https://portal.caav.jp/inquiry