WebサイトはIT資産のリスク管理対象から漏れがち
DXを推進する上で、重要なデジタルの顧客接点として戦略的な価値を高めているのが「Webサイト」だ。多くの企業がその積極的な活用に取り組んでいる。
だが、ここで盲点になりがちなのがセキュリティーである。自社のビジネスモデルを抜本的に変革するDXは内製化がカギを握ることから、Webサイトも内部で構築・運用する企業が増えている。ところが、従来は外部パートナーが行っていた作業を社内で巻き取る過程で、セキュリティー対策や脆弱性対策といったリスク低減の視点が抜け落ちがちなのである。
「そのようなことはない」「自社では様々なセキュリティー対策を実践している」という人もいるだろう。しかし、Webサイトを中心とした戦略的デジタル活用は、ビジネス部門が自ら担っているケースが多い。そのため、Webまわりのデジタル資産は、情報システム部門が管轄する全社のリスク対策の対象から漏れがちなのだ。昨今注目を集める「アタックサーフェス管理(ASM)」においても把握漏れしやすく、適切な管理が行き届かない状態になっている。それが、攻撃者の恰好の狙い目になっている。
実際、「自社/自社グループが保有するWebサイトの全容が見えない」「終了したキャンペーンのWebサイトや廃版製品のWebサイトが今どうなっているか分からない」。このようなことに思い当たる人は多いのではないだろうか。古いサイトでも、改ざんされればニュースに取り上げられるなど、ビジネス全体に影響を及ぼす。ほかのシステムへの侵入の“踏み台”にされ、機密情報を盗み出される可能性もあるだろう。
そこで今、新たに登場しているのが、AI/生成AIを活用した「Web-ASM」というアプローチだ。その詳細と効果を次ページで紹介する。