SHODANを活用した自社のセキュリティ診断
〜外部からどのように見えているのかを知る〜　

特別企画で述べたとおり、 ASM（Attack Surface Management）は 「自社が外部からどう見えているか」を把握する行為です。 本来、ASMは専門ベンダーに任せるべき領域ですが、 経営者や担当者が現状を把握する第一歩として、 自前で確認できる手段も存在します。

　

その一つが SHODANです。SHODANは、インターネット上に公開されている機器やサービスの情報を収集し、検索できる仕組みです。 重要なのは、これは特別なハッキングツールではない、という点です。攻撃者も、同じ情報を見ています。

　

SHODANを使うことで、 次のような情報が確認できます。
　　・自社のグローバルIPアドレスに紐づく公開機器
　　・外部から接続可能な通信ポート
　　（許可している通信の種類）
　　・公開されているサービスの種類
　　・機器やソフトウェアの情報（表示される場合）

　

ここでの目的は、 侵入を試みることではありません。 「自社に、外から触れる場所が存在するのか」 「想定していない入口がないか」 を確認することです。

　

ここでは、SHODANの具体的操作手順そのものよりも
確認の考え方が重要であり、その軸は次の問いです。
　 ・この入口は、なぜ開いているのか
　 ・今も業務上、本当に必要なのか
　 ・誰が管理しているのか
　 ・設定変更や停止の判断ができるのか
ここで答えられない入口は、 すでに経営リスクです。

　

SHODANで確認した結果、次のような状態が見つかった場合は特に注意が必要です。
　・覚えのないサービスや機器が表示される
　・過去に使っていたはずの仕組みが残っている
　・管理者が不明確な機器が外部公開されている
これらは「危険だ」と即断する材料ではありませんが、精査が必要なサインです。

　

ただ、あくまでもSHODANを使った確認は、セキュリティ診断の入口にすぎません。
　・本当に侵入可能か
　・どこまで被害が広がるか
　・実害につながるか
これらを判断するには、専門的な知識と検証が必要です。だからこそ、
　・詳細な評価
　・是正の判断
　・設定変更の実施
は必ず専門ベンダーと連携して行うべきです。

　

SHODANの最大の価値は、「自社が狙われているかどうか」を知ることではありません。 自社が、すでに“見られている”存在であることを実感することです。

　

厳しい言い方になりますが、ASMをやらないという選択はリスクに対応することを放棄したも同然です。 SHODANは、その事実を誰にでも分かる形で突きつけます。

　

ここでSHODANを紹介する目的は「自前でASMをすべて完結させること」ではありません。
　・経営者が現実を直視する
　・担当者が問題意識を持つ
　・ASMの必要性を共有する 　

そのためのセキュリティの健康診断の入り口として位置づけてください。

　

SHODANを使ってみよう

　　

コンテンツへ戻る