GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社（代表取締役CEO：牧田 誠　以下、GMOサイバーセキュリティ byイエラエ）は、2024年4月30日（火）より、自動脆弱性診断・ASM^（※1）ツール「GMOサイバー攻撃 ネットde診断」の診断機能を拡張し、「Palo Alto Networks」、「Cisco」、「SonicWall」の3ブランドのネットワーク機器への脆弱性診断に対応しました。
　GMOサイバーセキュリティ byイエラエは、今後も機能を拡張し、脆弱性診断に対応できるネットワーク機器数を増やすことで、より多くの企業のセキュリティ対策に貢献していきます。

^{（※1）Attack Surface Management：インターネットからアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性などのリスクを継続的に検出・評価する取り組みです。}

ネットワーク機器の診断を強化

　「GMOサイバー攻撃 ネットde診断」の機能拡張により、市場シェアが高いCisco、Palo Alto Networks、^（※2）お客様からの要望があったSonicWallが提供するVPN^（※3）や、ファイアウォール^（※4）などの機能を備えたネットワーク機器の脆弱性診断に対応しました。さらにオープンソースのVPNソフトウェア「OpenVPN」の診断にも対応しました。
　診断項目は、「デバイスの検出」と「管理コンソールの認証ページ閲覧状況の検出」で、セキュリティ上の問題としてネットワークに接続された未検出のデバイスがないか、認証されていないユーザーが管理コンソールへアクセスが可能になっていないかが検出可能になりました。従来、「GMOサイバー攻撃 ネットde診断」の診断はWebサイト中心でしたが、今回の機能拡張によりネットワーク機器にも対応が可能になり、今までよりもIT資産に対する網羅性が向上しました。

^{(※2)日経×TECH「ネットワーク機器利用実態調査2023」(https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600179/)
(※3)インターネット上で仮想的に専用のネットワークを構築する技術
(※4)ネットワーク上の不正なアクセスや攻撃から保護するためのセキュリティシステム}

<診断項目>（対応機器）
・デバイスの検出 (Palo Alto Networks)
・管理コンソールの認証ページが閲覧可能（Palo Alto Networks）
・管理コンソールの認証ページが閲覧可能（OpenVPN）
・管理コンソールの認証ページが閲覧可能（Cisco ASA VPN）
・管理コンソールの認証ページが閲覧可能（SonicWall Virtual Office）

VPNの脆弱性による重大インシデント

VPN機器の脆弱性や設定ミスを適切に管理していない場合、重大なサイバー攻撃の被害に遭う場合があります。2022年に大阪急性期・総合医療センターのランサムウェア感染により電子カルテの暗号化や外来診療や一部の検査などの業務停止を余儀なくされたケースでは、ランサムウェアの侵入口は給食委託事業者のVPN機器の脆弱性を利用されたものでした。^（※5）
　また、2023年には名古屋港のコンテナ管理システムがランサムウェアに感染し、約3日間にわたってコンテナ搬入搬出が停止し、物流に大きな影響を与えました。このケースでもVPN 機器からの侵入が行われたものと見ることが適切であるとされています。^（※6）

^{（※5）地方独立行政法人大阪府立病院機構大阪急性期・総合医療センター情報セキュリティインシデント調査委員会　調査報告書（https://www.gh.opho.jp/pdf/report_v01.pdf）
（※6）コンテナターミナルにおける情報セキュリティ対策等検討委員会「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について」（https://www.mlit.go.jp/kowan/content/001719866.pdf）}

初めての方でも使いやすい国産ASM「GMOサイバー攻撃 ネットde診断」

「GMOサイバー攻撃 ネットde診断」は、初めての方でも使いやすい国産ASMツールです。お客様からいただいた社名やサービス情報をもとに、攻撃面となる可能性があるWebサイトやネットワーク機器を洗い出し、ツールによる定期的なセキュリティ診断を行います。これにより、簡単に自社のIT資産の棚卸しとサイバー攻撃リスクの可視化を行うことができます。
　定期的に診断機能のアップデートを行っており、今回、拡大するVPN機器に関する脆弱性管理のニーズに対応いたしました。

■様々なネットワーク機器の脆弱性診断に対応

＜対応ブランド＞
・Fortinet
・Palo Alto Networks
・Cisco
・SonicWall

■経産省「情報セキュリティサービス基準」に適合　複数のガイドラインに準拠

「GMOサイバー攻撃 ネットde診断」は経済産業省が定める「情報セキュリティサービス基準」に適合しています。また、独立行政法人情報処理推進機構セキュリティセンター（IPA）が発行する「安全なウェブサイトの作り方」や、ソフトウェア開発におけるセキュリティ対策を推進する国際的な非営利団体であるOWASPが公表している、Webアプリケーション・セキュリティに関する最も重大な10のリスト「OWASP Top 10」、さらにデジタル庁が発行する「政府情報システムにおける　脆弱性診断導入ガイドライン」などの基準・ガイドラインに対応しています。
　さらに現在、クレジットカード業界のセキュリティ基準「PCI DSS」に準拠するための脆弱性スキャンを行う資格を有するベンダである「ASV」認定取得準備を進めており、様々な基準やガイドラインに準拠、適応した国産脆弱性診断・ASMツールとして更なる発展を目指しています。

ASMの一連の流れを体験できるトライアルを実施中！

「GMOサイバー攻撃 ネットde診断」では2週間でASMの一連の流れを体験いただけるトライアルを実施しています。トライアル期間内で、自社が保有するWebサイトやネットワーク機器を洗い出し、セキュリティ診断まで実施します。また。診断結果に対して報告会を通じて専門家による助言を受けることが可能です。社内の各部署で次々に立ち上がるWebサイトの脆弱性管理が不安なお客様、全社で保有するVPN機器の診断を行いたいお客様など、ぜひお気軽にお問い合わせください。
　サービスの詳細やトライアルのお申し込みは「GMOサイバー攻撃 ネットde診断エンタープライズ」のWebサイトよりお問い合わせください。

お問い合わせ先：https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/

GMOサイバーセキュリティ byイエラエについて

　GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を目指して国内外のハッキングコンテストやCTFでサイバーセキュリティに関する技術を磨いたホワイトハッカーを中心としてサイバー攻撃対策に関する技術およびサービスを提供するサイバーセキュリティの総合企業です。