Panoraysを紹介するときに、時折、聞かれるのが「EASMツールと何が違う?」という声です。
このページではPanoraysとEASMの違いについてわかりやすく説明していきます。
EASMとはExternal Attack Surface Managementの略で、日本語では「外部攻撃対象領域管理」と訳されます。悪意を持った攻撃者から攻撃をうける可能性がある外部公開資産のアタックサーフェス(攻撃対象領域)を把握、分析し、リスクを特定することやそれを行うソリューションを指します。基本的には自組織のアタックサーフェスの管理を行います。
それに対し、当社が提供するサプライチェーンリスク評価サービス「Panorays」では、委託先などを含むサードパーティのリスク管理を目的とするサービスです。評価の目的、つまり評価対象が異なるがゆえの違いを含む、主な違いを以下のリストに簡単にまとめました。
Panorays |
一般的なEASMツール |
||
対象 |
グループ会社や委託先 |
自組織 |
|
外部評価 | IT資産の可視化 |
◯ |
◯ |
サイバーリスク (指摘事項) |
◯ |
◎ Log4jなどの可能性も指摘 |
|
負荷・影響 |
◯ |
△ |
|
内部評価 | アンケート機能 |
◯ |
✕ |
料金 | ライセンス形態 |
評価対象組織数 |
評価対象アセット数 |
EASMとは
EASMは、一般的に使われている製品のメーカーと技術面において提携している場合が多く、製品の脆弱性の検知に対応しています。よって、メリットとしては「グループ会社を含む自組織の脆弱性に関する指摘事項」は上記の表が示すように、より詳細な情報を提供することが出来ます。逆に委託先などのリスク管理は管理外となっています。
Panoraysとは
一方Panoraysは、IT資産、またそれに関連するリスクの可視化を行う「外部評価」の機能があり、対象組織のプライマリドメインを登録すると、公開IT資産を検出し、評価します。よって、Panoraysを使うことのメリットは、資本関係などない委託先などのサードパーティであってもリスクの評価と管理を行えることにあります。Panoraysでは、この「外部評価」に加え、「内部評価」というセキュリティ調査票を使った評価機能もあり、組織内のGRC(ガバナンス、リスクおよびコンプライアンス)の観点からもリスクを可視化して、スコアリングを行います。
ライセンス形態の違い
ライセンス形態にも違いがあります。
Panoraysでは、評価対象組織のプライマリドメインを登録することにより、それに紐づくアセットを自動検出します。ライセンス形態は評価対象組織の数=ライセンス数となります。それに対し、一般的なEASMツールでは評価対象となるアセット数=ライセンス数となり、アセット管理が不完全な場合、予算管理が非常に困難となり、管理対象のアセット数が多い場合には、費用がかなり高額になります。自社やグループ企業のアセットは把握できていても、サプライチェーンのアセットまでは把握できていないのが普通ですので、評価対象組織数=ライセンスというPanoraysのわかりやすいライセンス形態で、莫大な費用をかけることなくサードパーティのリスク管理が可能になります。
サプライチェーンの弱点を悪用した攻撃は、IPAが毎年発表する10大脅威にも2019年以降連続で選出されているリスクです。サプライチェーン全体のリスクの可視化をスムーズ、かつ効率的に始めたい方は是非、当社までお問い合わせください。