グローバルで3500社導入 外部公開リソースの脆弱性を15年分のデータで分析する
御社も弱点さらしてますよ ASMの先駆者Bitsightが提案する見える化と攻撃への向き合い方
2026年04月17日 00時00分更新
昨今のランサムウェア攻撃はVPNの脆弱性を狙われることが多いが、セキュリティ侵害を受ける企業の外部公開リソース(エクスポージャー=露出部分)はほかにもいろいろある。こうした外部公開リソースのリスクを管理するエクスポージャー管理やASM(Attack Surface Management)の先駆者とも言えるのが、日本の成長も著しい米Bitsight Technologies(以下、Bitsight)だ。最高経営責任者 スティーブン・ハービー氏に話を聞いた。
米Bitsight Technologies 最高経営責任者 スティーブン・ハービー氏 (注:2026年4月7日CEO退任し、Bitsightの取締役に新たに着任)
インターネットに地図を作り、エクスポージャーのリスクを管理
2011年に創業されたBitsightは、セキュリティ侵害の対象となるエクスポージャーにある脆弱性を診断するサービスを提供する。現在「エクスポージャー管理」や「ASM」と呼ばれるジャンルのセキュリティサービスの走りとも言えるベンダーの1つだ。
BitSight 最高経営責任者 スティーブン・ハービー氏は、「当初のコンセプトは、インターネット上のGoogle Mapを作るというものだった」と語る。まずはインターネットのドメインとIPアドレス、企業が外部に公開しているリソースとマッピングし、インターネット上の「地図」を作る。その上で、サーバーやソフトウェアなど外部公開リソースの脆弱性を調べ、攻撃の脅威を組織ごとにレーティングするデータベースを構築した。15年に渡って蓄積してきたこのレーティングデータベースこそが、同社の競争力の源泉と言える。
長らく多くのセキュリティベンダーは攻撃を行なう犯罪グループやソフトウェアの情報収集・分析に注力してきた。いわば敵の武器や兵士を調べ上げ、それに対校できる防御策を練り上げてきたと言える。一方、Bitsightはそもそも攻撃を受ける側の弱点にフォーカスし、外部から攻撃を受けるエクスポージャーを調べ上げる。城の出城や門の不備を外部の専門家が洗い出すというアプローチだ。
攻撃を防ぐためとはいえ、外部から企業のサイトを調べ上げることに抵抗感を持つ企業は少なくない。しかし、企業が外からどのように見えているのかを客観的に把握することは、近年ますます重要になっている。ハービー氏は、「システムが複雑になってきたため、把握するのは難しくなってきているのも事実だ。われわれのサービスを利用することで、どこに、どのような危険があるのか可視化でき、いち早く対処できる」と語る。
実際、Bitsightのレーティングは以前はマルウェアの侵入可能性が大きな条件だったが、2年前から設定の不備を重視するアルゴリズムに大きく変更されたという。攻撃のスピードが速くなり、ますます巧妙化する中、犯罪者グループの攻撃傾向にいかに迅速に対応するかを重視しているわけだ。
セキュリティリスクを俯瞰できる強み
現在、Bitsightはこのレーティングデータベースを元に4つのサービスを展開している。企業の取引先(サードパーティ)とのやりとりを継続的にモニタリングし、リスクを検出する「サードパーティリスク管理」、企業の外部公開リソースがどれだけ攻撃の脅威にさらされているかをスコア化した「エクスポージャー管理」、自社のセキュリティ体制を経営陣やステークホルダーに説明するための「ガバナンス&レポーティング」、そしてアンダーグラウンドのインテリジェンスを収集し、脅威の兆候をいち早く把握できる「サイバー脅威インテリジェンス」の4つだ。
このうちもっとも新しいサイバー脅威インテリジェンスは、2024年に買収したCybersixgillのサービスをベースにしており、当時の幹部が現在もAIをベースにしたサービスとして開発を推進している。
ランサムウェアの攻撃がますます深刻になっている昨今、エクスポージャー管理やASMのニーズはますます高まっており、競合は圧倒的に増え、製品も多様化した。ハービー氏は、「ある調査によると、エンタープライズ企業は50ものセキュリティ製品を利用しており、使い分けやデータの統合に苦労している」と指摘。その点、Bitsightの強みは、セキュリティリスクを俯瞰できるプラットフォームとして提供している点だという。
前述した4つの製品は、利用するユーザーの役割や目的が異なるため、ユーザーインターフェイスも異なる。しかし、データを連携させているので、個別の製品を利用する場合でも、統合して利用する場合も、シームレスに利用できるという。「M&Aの7割は製品の統合に失敗していると考えているので、われわれも気を遣って統合を進めている」とハービー氏は語る。
ハービー氏によると、現在のセキュリティ対策サービスは、3つに大別できるという。EDRのようなインフラでの脅威防御、起こったインシデントに対する対応製品、そしてリスクの可視性を提供するサービスだ。Bitsightはこのうち3つ目に該当し、組織全体のリスクを包括的に見える化するメリットを提供するという。
日本市場は伸び盛り 足りないのは「真剣さと謙虚さ」
Bitsight製品の導入はグローバルで3500社を超える。利用ユーザーは幅広く、情報漏えいや詐取を警戒するエンタープライズ企業、企業や市民の安全を確保したい政府機関、攻撃の影響が甚大となりうる社会インフラのメーカーや事業者などさまざまだ。また、セキュリティサービスのための基盤データとなっているのもユニークなところ。「グローバルのサイバー保険のうち、約半分がわれわれのレーティングデータベースを元に、保険金の拠出を決めている」という。
日本での導入も伸び盛りで、昨年度対比で50%以上の成長を遂げているという。具体的なユーザー事例としては、野村アセットマネジメントとNECが挙げられるという。前者の野村アセットマネジメントは投資先の選定に活用。NECはBitsightのサービスをAPIで呼び出し、自社のリスクダッシュボードにリスクデータベースのデータを統合。日本でのDX大賞を獲得しているという。
ハービー氏は、「日本ではデジタルエコノミーが浸透しているが、近隣からの攻撃も増えている」とのことで、既存のセキュリティ対策に限界を感じたユーザーの導入も多いと語る。アジアパシフィック地域のVPであるキッソ・ダイアル氏は、「日本は売上も伸びているので、集中的に投資している。日本も人員を増加しており、ローカライズやサポート体制を強化している」と語る。
日本での販売代理店となっているパロンゴの近藤学氏は、「正直、3年前くらいはASMってなに?という感じでしたし、お客さまからも『うちのサイトを勝手に調べて!』という声もありました。しかし、ランサムウェアの事件が増え、経産省からASM導入ガイダンスが公開されたことで、この2年で一気に風向きが変わってきました」と手応えを感じる。以前は金融系の企業が多かったが、最近は業種問わず問い合わせも倍々に増えているという。
パロンゴの近藤学氏
とはいえ、まだまだ客観的な視点に欠けている日本企業が多いのも事実。近藤氏は、「人ごとの会社も多く、攻撃を食らって、初めて事態の大きさに気がつく会社も多い。真剣さと謙虚さを持って、セキュリティに向き合ってほしい」と警鐘を鳴らす。
本記事はアフィリエイトプログラムによる収益を得ている場合があります
