株式会社セキュアスカイ・テクノロジー(東京都千代田区)は、攻撃者が侵入に利用し得る経路や手法の可能性を調査する「アタックサーフェス調査サービス」で、新たに「情報漏洩調査」を標準調査項目として追加し、4月に提供を始める。インターネット上やダークウェブ等を対象に、企業・組織に関連する漏洩情報の有無を調査範囲に含め、外部に流通する情報を起点としたリスク把握を支援する。
追加した「情報漏洩調査」は、インターネット上およびダークウェブ等を含む外部情報源から、企業・組織に関連する認証情報や機密情報を探索し、その漏洩状況を専門家が調査・報告する。従来の侵入経路や手法の可能性に関する調査に、外部に公開・流通している情報の実態把握を組み合わせることで、より実効性の高いセキュリティ対策の検討につなげる狙いだ。
2026年末まで標準提供
情報漏洩リスクに対するニーズの把握とサービス活用の促進を目的に、2026年12月31日まではアタックサーフェス調査サービスに標準付帯で提供する。調査結果の報告件数は各調査項目につき最大50件までとし、クレデンシャル漏洩、端末(デバイス)漏洩、ファイル・ドキュメント漏洩の3つの観点で整理する。2027年以降は有料オプションとしての提供を予定しており、価格体系や付帯条件などの最終決定は市場ニーズを踏まえて詰める。
調査の報告対象は、従業員が利用していた外部のWebサービスやSaaS、SNSなどから漏洩したクレデンシャル情報、マルウェアに感染した端末から流出したクレデンシャル情報(Webブラウザに保存されているID・パスワードやCookieなど)、インターネット上およびダークウェブ等に公開されている企業・組織に関連するファイル・ドキュメント(画像、オフィス文書、PDFなど)に及ぶ。アタックサーフェス調査サービス自体は、インターネットからアクセス可能なIT資産や外部に拡散された情報を攻撃者視点で分析し、リスクを可視化・評価するとともに、攻撃者が利用し得る初期アクセスの手法や経路を洗い出す内容だ。今回の追加により、侵入経路の調査と、外部に公開・流通している情報の探索を一体的に行う構成となる。
セキュアスカイはWebアプリケーションセキュリティの専門企業として、脆弱性診断サービスやセキュリティ教育・支援サービス、クラウド型WAF「Scutum」、国産EASMサービス「Dredger」などを展開してきた。外部から観測できるIT資産や情報の露出を攻撃者視点で捉えるEASM(External Attack Surface Management)は、Webアプリケーションの運用がクラウドやSaaSへ広がる中で、管理対象が社内ネットワーク外へ拡張する流れを反映した領域とされる。今回の情報漏洩調査の追加は、外部露出資産の可視化という従来の方向性に、外部へ流通した認証情報や文書の探索を組み込む展開となる。
外部流通情報を起点とする攻撃では、侵入の段階から脆弱性の悪用に限らず、認証情報の不正利用や公開済み文書の収集など、複数の手口が組み合わさる局面が想定される。ゼロデイ攻撃やランサムウェア、認証情報の悪用は増加傾向にあり、DXの進展とともにWeb経由の攻撃面が広がるとの見立てもある。セキュアスカイは、インターネット露出IT資産や拡散情報を調査するEASMを「攻撃者視点資産分析が標準」と位置付けており、今回の調査項目追加は、外部で観測できる痕跡の把握を調査メニューの中核へ据える動きと重なる。
報告は最大50件枠
情報漏洩調査は、インターネット上およびダークウェブ等を含む外部情報源を対象に、企業・組織に関連する漏洩情報の有無を専門家が調査し、結果を報告する。調査結果の報告は各調査項目につき最大50件までとし、対象範囲をクレデンシャル、端末(デバイス)、ファイル・ドキュメントの3区分に分類する。
調査の枠組みは、従業員が利用していた外部のWebサービスやSaaS、SNSなどから漏洩したクレデンシャル情報、マルウェアに感染した端末から流出したクレデンシャル情報、インターネット上およびダークウェブ等に公開されている企業・組織に関連するファイル・ドキュメントを報告対象に含める。攻撃者が対策の「隙」を狙って侵入経路を特定することを踏まえ、アタックサーフェスを把握・管理し、侵入され得る経路と外部流通情報の双方を同一サービス内で一貫して扱う設計とした。
外部情報源を対象に専門家が調査する運用を採り、報告件数に上限を設けて3区分で整理する設計とすることで、調査結果の粒度をそろえ、利用企業側が対策の優先順位を付けやすくする狙いがある。標準付帯からオプション化へ移行する2027年以降は、利用頻度や運用負担の受け止め方が、サービスの位置付けを左右する要素になりそうだ。
今回の追加により、侵入経路の探索と外部に流通する情報の調査を組み合わせることで、企業・組織側のリスク把握の射程が広がる可能性がある。取引管理や法人営業の現場では、各調査項目につき最大50件という運用を踏まえ、どの区分の報告内容を優先的に確認し、どのような是正措置へ接続するかについて、社内の合意形成が求められる。
EASMと漏洩調査の接合
外部から見える資産や情報の把握は、EASMという枠組みで国内外に広がってきた。セキュアスカイが提供する国産EASMサービス「Dredger」は、インターネット露出資産を攻撃者視点で可視化する考え方を取り込み、アタックサーフェス調査サービスでも、外部からアクセス可能なIT資産や外部に拡散された情報を専門家が分析する流れを採ってきた。今回の情報漏洩調査の追加は、外部に露出した資産の棚卸しと、外部に流通した認証情報・文書の探索を同列に扱う方向性を明確に示す。
業界内では、Webアプリケーションを中心とした攻撃の高度化に対し、脆弱性診断やWAF運用に加え、外部に露出した入口の継続的な洗い出しを組み合わせる動きが目立つ。セキュアスカイはクラウド型WAF「Scutum」も展開しており、Webアプリケーションの防御と外部露出の可視化を並行して扱ってきた。攻撃面の管理が資産単位から「入口の状態」へと重点を移すほど、漏洩した認証情報の有無は初期アクセスの現実的な変数となりやすく、EASMと漏洩調査の接合は、調査サービスの設計思想を広げる契機となる。
競合環境の観点では、アタックサーフェス管理が「攻撃者視点資産分析」を標準とする中、調査対象の拡張は、どの情報源までを射程に入れ、どの粒度で報告するかの違いとして各社のサービスに表れやすい。セキュアスカイは、2026年末までは情報漏洩調査を標準付帯とし、各項目最大50件、3区分で報告する枠を設定した。調査結果の提示形式をあらかじめ固定することで、利用企業側は脆弱性診断やアタックサーフェスの所見と、漏洩に関する所見を同じテーブルで議論しやすくなる一方、実務では、どの区分の是正を優先するかの社内調整が発生しやすい構図となる。
また、国内セキュリティ企業の連携という文脈では、セキュアスカイが「日本サイバーセキュリティ産業振興コミュニティ(Nippon)」へ参加している。製品・サービス開発を支援する枠組みと接点を持つことで、EASMやWeb防御の領域で、検知・防御・調査を横断したサービス設計を模索する動きとの相乗効果も期待される。さらに、株式会社両備システムズがScutumを代理店ラインナップに加えるなど、提供体制の広がりを示す事例も出ている。
外部流通情報の調査は、収集対象がインターネット上やダークウェブ等へ広がるほど、技術に加え運用面の工夫にも依存しやすい。セキュアスカイは専門家による調査と報告を掲げ、2027年以降の提供形態は市場ニーズを踏まえて最終決定するとしている。アタックサーフェス調査サービスの枠内で漏洩調査を標準付帯する期間を設けたことは、利用側の業務設計と需要の見極めを同時に進めるための時間軸を確保した動きといえ、外部に流通する情報を起点にした対策へ軸足を移す企業の増加が、今後の焦点となる。