国産脆弱性診断・ASMツール『GMOサイバー攻撃 ネットde診断』
機能拡張で「FortiGate」の脆弱性診断が可能に

　GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社（代表取締役CEO：牧田 誠　以下、GMOサイバーセキュリティ byイエラエ）は、2024年4月1日（月）より、自動脆弱性診断・ASM^（※1）ツール「GMOサイバー攻撃 ネットde診断」の診断機能を拡張し、アメリカの統合脅威管理（UTM）^（※2）の開発メーカー・フォーティネット社が提供する「FortiGate」の脆弱性診断に対応しました。

（※1）Attack Surface Management：インターネットから アクセス可能なIT資産の情報を調査し、それらに存在する脆弱性などのリスクを継続的に検出・評価する取り組みです。
（※2）インターネットの危険から保護するため、セキュリティ機能やサービスをネットワーク内の単一のデバイスに統合すること。

【VPNの脆弱性による重大インシデント】

　「FortiGate」は日本の市場シェアNo.1^（※3）を誇るUTMです。セキュリティ対策として業種を問わず多くの企業が導入しています。ファイアウォールとしての機能はもちろんですが、新型コロナウイルスの流行を契機に日本国内でテレワークの導入が進むにつれて、自宅と社内ネットワークを接続するためのVPN^（※4）として利用される機会も増えました。
　VPN機器の脆弱性や設定ミスを適切に管理していない場合、重大なサイバー攻撃の被害にあう場合があります。2022年に大阪急性期・総合医療センターのランサムウェア感染により電子カルテの暗号化や外来診療や一部の検査などの業務停止を余儀なくされたケースでは、ランサムウェアの侵入口は給食委託事業者のVPN機器の脆弱性を利用されたものでした。^（※5）
　また2023年には名古屋港のコンテナ管理システムがランサムウェアに感染し、約3日間にわたってコンテナ搬入搬出が停止し、物流に大きな影響を与えました。このケースでもVPN 機器からの侵入が行われたものと見ることが適切であるとされています。^（※6）

（※3）日経 xTECH「ネットワーク機器利用実態調査2022」（https://xtech.nikkei.com/atcl/nxt/mag/nnw/18/111600150/111600003/）
（※4）Virtual Private Network：あるネットワーク内に仮想的に専用のネットワークを構築する技術。
（※5）地方独立行政法人大阪府立病院機構大阪急性期・総合医療センター情報セキュリティインシデント調査委員会　調査報告書（https://www.gh.opho.jp/pdf/report_v01.pdf）
（※6）コンテナターミナルにおける情報セキュリティ対策等検討委員会「名古屋港のコンテナターミナルにおけるシステム障害を踏まえ緊急に実施すべき対応策及び情報セキュリティ対策等の推進のための制度的措置について」
（https://www.mlit.go.jp/kowan/content/001719866.pdf）

【初めての方でも使いやすい国産ASM「GMOサイバー攻撃ネットde診断」】

　「GMOサイバー攻撃 ネットde診断」は、初めての方でも使いやすい国産ASMツールです。お客様からいただいた社名やサービス情報をもとに、攻撃面となる可能性があるWebサイトやネットワーク機器を洗い出し、ツールによる定期的なセキュリティ診断を行います。これにより、簡単に自社のIT資産の棚卸しとサイバー攻撃リスクの可視化を行うことができます。
　診断機能のアップデートを行い、拡大するVPN機器に関する脆弱性管理のニーズに対応いたしました。

■自動定期診断とアラート通知機能で「FortiGate」に潜在する脆弱性を早期発見
　「GMOサイバー攻撃 ネットde診断」では「FortiGate」に関する以下の項目が検出可能です。

＜診断項目＞
・デバイスの検出
・管理画面(ログインフォーム)
・デフォルトクレデンシャル
・Webコンソールベースの情報漏洩(^※7CVE-2018-13379)
・Webコンソールベースのリモートコード実行(RCE) (^※7CVE-2022-40684)
・ヒープオーバフロー(^※7CVE-2022-42475)

　またFQDN^（※8）に対して脆弱性を実施するため、「FortiGate」のすべてのモデルを診断できます。一般に公表されている脆弱性（既知の脆弱性）は攻撃者によって悪用される可能性があります。「GMOサイバー攻撃 ネットde診断」により、定期的な自動診断とアラート通知機能を活用することで、早急な対処が必要となる既知の脆弱性の存在をいち早く知ることができます。

（※7）共通脆弱性識別子（Common Vulnerabilities and Exposures）：脆弱性対策情報の共有を容易にすることを目的として、アメリカ政府の支援を受けた非営利団体のMITRE社が個別の識別番号（CVE）を採番している。
（※8）完全修飾ドメイン名（Fully Qualified Domain Name）： ホスト名とドメイン名を省略せずに記述した絶対表記のこと。

■経産省「情報セキュリティサービス基準」に適合　複数のガイドラインに準拠
　「GMOサイバー攻撃 ネットde診断」は経済産業省が定める「情報セキュリティサービス基準」に適合しています。また、独立行政法人情報処理推進機構セキュリティセンター（IPA）が発行する「安全なウェブサイトの作り方」や、ソフトウェア開発におけるセキュリティ対策を推進する国際的な非営利団体であるOWASPが公表している、Webアプリケーション・セキュリティに関する最も重大な10のリスク「OWASP Top 10」、さらにデジタル庁が発行する「政府情報システムにおける　脆弱性診断導入ガイドライン」などの基準・ガイドラインに対応しています。
　さらに現在、クレジットカード業界のセキュリティ基準「PCI DSS」に準拠するための脆弱性スキャンを行う資格を有するベンダである「ASV」認定取得準備を進めており、様々な基準やガイドラインに準拠、適応した国産脆弱性診断・ASMツールとして更なる発展を目指しています。

【ASMの一連の流れを体験できるトライアルを実施中！】

　「GMOサイバー攻撃 ネットde診断」では2週間でASMの一連の流れを体験いただけるトライアルを実施しています。トライアル期間内で、自社が保有するWebサイトやネットワーク機器を洗い出し、セキュリティ診断まで実施します。また。診断結果に対して報告会を通じて専門家による助言を受けることが可能です。社内の各部署で次々に立ち上がるWebサイトの脆弱性管理が不安なお客様、全社で保有するVPN機器の診断を行いたいお客様など、ぜひお気軽にお問い合わせください。
　サービスの詳細やトライアルのお申し込みは「GMOサイバー攻撃 ネットde診断エンタープライズ」のWebサイトよりお問い合わせください。
お問い合わせ先：https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/

【GMOサイバーセキュリティ byイエラエについて】

　GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を合言葉に国内外のハッキングコンテストやCTFでサイバーセキュリティに関する技術を磨いたホワイトハッカーを中心としてサイバー攻撃対策に関する技術およびサービスを提供するサイバーセキュリティの総合企業です。