「GMOサイバー攻撃 ネットde診断 ASM」、
自動脆弱性診断の結果画面をリニューアル
～CVSSスコアによる脆弱性評価とPoCタグで脆弱性の対応優先順位付けを速やかに～

　GMOインターネットグループでサイバー攻撃対策事業を展開するGMOサイバーセキュリティ byイエラエ株式会社（代表取締役CEO：牧田 誠　以下、GMOサイバーセキュリティ byイエラエ）は、2025年3月27日(木)に、ホワイトハッカーのノウハウを集約したアタックサーフェスマネジメント (Attack Surface Management、以下、ASM)^(※1) ツール「GMOサイバー攻撃 ネットde診断 ASM」の自動脆弱性診断の結果表示画面をリニューアルしました。
　今回のリニューアルではCVSSスコア^(※2)を用いて客観的な脆弱性の危険度を提示し、さらに検出された脆弱性を実証するためのプログラムが公開されている場合は「PoC（Proof of Concept code　以下、PoC）」というタグを付与します。これによりユーザーが検出されたセキュリティの問題の一覧の中から、どれを優先的に対応すべきか速やかに判断(トリアージ^(※3))できるようになります。

(※1) IT資産の脆弱性やリスクを継続的に検出・評価する取り組みのこと。
(※2) Common Vulnerability Scoring Systemの略でシステムやソフトウェアが持つ脆弱性の深刻度を評価する国際的な指標のこと。
(※3) 脆弱性対応の優先順位や緊急度を判断する一連の評価と選択のこと。元々は医療の現場で使われる言葉で、事故現場などで多数の負傷者を評価し、治療の優先順位を決定することを意味する。

【これまでの自動脆弱性診断結果表示画面との比較】

　これまでの「GMOサイバー攻撃 ネットde診断 ASM」の自動脆弱性診断では、診断結果として脆弱性の概要説明、対象のバージョン情報、検出したCVE(※4)の一覧を表示していました。今回のリニューアルでは「その脆弱性がどれくらい危険か」「早急に対処すべき問題であるか」をユーザーに適切に伝えるため、CVEごとの脆弱性の危険度をCVSSで評価するとともに、さらに脆弱性を実証するためのプログラム(PoC)が公開されている脆弱性においては攻撃者に悪用される可能性があり、迅速な対応が必要なことが、一目でわかるようタグ付けを行う仕様をアップデートしました。

(※4) Common Vulnerabilities and Exposuresの略で、公開されているセキュリティ上の脆弱性を識別するための共通の識別子のこと

■CVSSスコアとは
　CVSS(Common Vulnerability Scoring System)とは、共通脆弱性評価システムと呼ばれる、情報システムの脆弱性に対するオープンで汎用的な評価手法です。ベンダーに依存しない共通の評価方法として、脆弱性の深刻度を同一の基準の下で定量的に比較するために用いられます。
(参考)https://www.ipa.go.jp/security/vuln/scap/cvss.html

■PoC(Proof of Concept code)とは
　「PoC」はProof of Conceptの略であり、日本語では概念実証と訳されます。サイバーセキュリティ分野においては、主に公開された脆弱性が実際に悪用できるかどうかを実証するためのプログラムやコード(エクスプロイト・コード)を指します。PoCが公開された脆弱性は、攻撃者により悪用される可能性を考慮して早急に対処する必要があります。

【脆弱性トリアージの重要性】

■「GMOサイバー攻撃 ネットde診断 ASM」
サービス責任者　市川 遼のコメント
　限られた時間とリソースの中で、脆弱性対応を効率的に進めるためには、トリアージが不可欠です。サイバー攻撃のリスクが高まる現代では、新たな脆弱性が次々と発見されており、すべてを即座に対応することは現実的ではありません。そのため、危険性の高い脆弱性から優先的に対処することが求められます。
　特に、PoCが公開された脆弱性は、攻撃者が容易に悪用できるため、短期間で攻撃の件数が急増する傾向にあります。その結果、標的となるリスクも格段に高まります。したがって、PoCが公開されている脆弱性から優先的に対処することは、トリアージの重要な判断基準の一つです。

【「GMOサイバー攻撃 ネットde診断 ASM」について】
(https://product.gmo-cybersecurity.com/net-de-shindan/lp_enterprise/)

　「GMOサイバー攻撃 ネットde診断 ASM」は、簡単かつ直感的に使用が可能な国産ASMツールです。お客様の社名やサービス情報、IPアドレスをもとに、攻撃対象となる可能性があるWebサイトやネットワーク機器を特定し、定期的なセキュリティ診断を実施します。これにより、自社IT資産の棚卸とリスクの可視化を行うことができます。

【GMOサイバーセキュリティ byイエラエについて】
(https://gmo-cybersecurity.com/）

　GMOサイバーセキュリティ byイエラエは、国内最大規模のホワイトハッカーで組織されたサイバーセキュリティのプロフェッショナルカンパニーです。GMOサイバーセキュリティ byイエラエは、「世界一のホワイトハッカーの技術力を身近に」を目指して、各種脆弱性診断、ペネトレーションテスト、セキュリティコンサルタント、SOCサービス、フォレンジック調査まで包括的にサイバーセキュリティ対策サービスをご提供します。