Articles
記事一覧
ASM診断 PROの導入・運用・機能理解に必要な記事を集約しています。
EASM・攻撃対象領域管理との違い
アタックサーフェスとは?
アタックサーフェスの定義、内部/外部の違い、EASM・攻撃対象領域管理の関係、典型リスクと始め方を整理します。
導入ガイド
無料診断の開始から会員登録後の運用まで、導入順序を手順で確認できます。
料金・プラン
Free / Basic / Business / Enterpriseの料金と登録可能ドメイン数を確認できます。
ナレッジ
ASMやセキュリティに関する知識を深めるための解説記事です。
経産省ASM導入ガイダンスの読み解き方
経産省ASM導入ガイダンスの章立て、事前準備、ツール類型、必要スキル、90日導入手順を実務へ翻訳する記事です。
アタックサーフェスとは?
アタックサーフェスの定義、内部/外部の違い、EASM・攻撃対象領域管理の関係、典型リスクと始め方を整理します。
Exposure Management(エクスポージャー管理)とは?
Exposure Management の全体像、脆弱性管理との違い、CTEM・EASM・CAASM・DRPSの関係、日本企業がEASMから始める理由を整理します。
ASM診断とは?
ASM診断(Attack Surface Management)の役割、見えるものと見えないもの、脆弱性診断・ペンテスト・脆弱性管理との違いに加え、おすすめのASM診断サービス3選まで整理します。
ASMツール比較
国産ASMツール5選と海外ASMツール5選を、発見対象、継続監視、日本語運用、導入しやすさ、周辺統合の観点で比較します。
DRPSとは?ブランド保護・なりすまし監視・takedown運用の始め方
DRPS の監視対象、EASM や typosquatting 対策との違い、証拠の整理から削除申請までの運用を一次ソースベースで整理します。
CTEM実装ガイドとは?5ステージとEASMから始める現実的な進め方
CTEM の 5段階をどう運用へ落とすか、なぜ EASM から始めると止まりにくいか、最初の 90 日、役割分担、KPI、検証と改善実行まで一次ソースベースで整理します。
公開ストレージの情報漏えいとは?S3・Blob・GCSの公開設定ミスと共有リンク事故を防ぐ方法
公開ストレージの情報漏えいを調べる方向けに、S3、Google Cloud Storage、Azure Blob Storage の公開設定ミス、匿名アクセス、共有URL、SAS、最初に監査すべきポイントと再発防止フローを一次ソースベースで整理します。
ダングリングDNSとは?
ダングリングDNSが危険になる条件、確認ポイント、サブドメインテイクオーバーの実害と対策を一次ソースベースで整理します。
サブドメイン棚卸しのやり方
サブドメインの見つけ方、棚卸し項目、監視の回し方、M&Aや委託先を含む運用を整理します。
サブドメイン監視とは?増減・放置・再公開を継続検知する方法
サブドメイン監視で何を見続けるべきか、Hazy Hawk 事例、日次・週次・月次運用、複数ドメイン設計まで一次ソースベースで整理します。
DNSセキュリティチェックリストとは?設定ミス・放置レコード・優先修正順の見方
DNS セキュリティチェックで最初に見るべき misconfiguration、dangling CNAME、NS 委任、TXT verification、wildcard DNS、CAA、DNSSEC の監査観点を整理します。
DNS棚卸しの手順
DNSレコード、TTL、CNAME、NSの確認観点と、運用で崩れやすいポイントを解説します。
外部公開資産台帳テンプレート
外部公開資産を一覧化するための管理項目、更新ルール、棚卸しフローのテンプレートを提供します。
未管理資産のリスク
未管理資産、放置サブドメイン、シャドーIT がなぜ見逃され、どう事故につながるのかを解説します。
証明書の期限切れリスク
証明書の期限切れ、SAN、一覧取得、監視自動化、Let's Encryptの通知廃止を踏まえた運用を解説します。
SSL証明書の期限監視とは?一覧取得・SAN・複数ドメイン管理の進め方
SSL証明書の期限監視で見るべき項目、SAN / ワイルドカード / 複数ドメイン管理、30/14/7/3日の運用フロー、CTログ と 外部観点 の使い方を整理します。
HTTPS強制設定とTLS見直し
HTTPS強制、HSTS、証明書設計、TLS設定不備の直し方を要点ベースで整理します。
管理画面・開発環境の露出リスク
管理画面、開発環境、ステージング環境を公開したままにするリスクと対策を解説します。
typosquatting対策とブランド保護
typosquatting、look-alike domain、ブランド保護の観点から、監視と初動を整理します。
ISMSで外部公開資産をどう管理するか
ISMS 運用の中で ASM のKPI、定例レビュー、改善サイクルをどう設計するかを解説します。
ASM運用フローとは?KPI・定例レビュー・チケット運用の設計方法
ASM の日次 / 週次 / 月次 / 四半期の運用頻度、KPI、優先度仕分け、対応票、レビュー、要約配布の設計を実務目線で整理します。
S3 External Access Summaryで何がわかる?外部共有の見方と運用ポイント
S3 External Access Summary を確認したい方向けに、IAM Access Analyzer for S3 の前提、表示される検出結果の意味、更新タイミングの制約、公開バケットと他アカウント共有の見分け方を整理します。
S3 Block Public Accessを組織で揃えるべき理由とは?例外運用の考え方
S3 Block Public Access を組織で標準化したい方向けに、組織レベルの仕組み、4つの設定の意味、バケット単位例外が効きにくい理由、AWS Organizations での適用範囲設計を整理します。
GitHub Secret Protectionは導入すべきか?検討ポイントと向くチーム
GitHub Secret Protection の導入を検討する方向けに、無料の秘密情報リスク評価との違い、プッシュ時ブロックや例外承認管理を含む機能範囲、向いているチーム、価格試算の考え方を整理します。
終了したキャンペーンLPが危ない理由とは?放置サイト・旧フォーム・計測タグを減らす運用
終了したキャンペーンLPの残置が気になる方向けに、旧フォーム、計測タグ、特設サブドメインがなぜ外部公開リスクになるのか、停止手順、例外管理、再発防止の運用設計を整理します。
検証環境の公開残存とは?一時公開が本番リスクになる理由と止め方
検証環境の公開残存を見直したい方向けに、ステージング、開発、プレビュー環境がなぜ本番リスクになるのか、停止手順、到達性確認、例外公開の管理方法を整理します。
BFFが外部公開面になりやすい理由とは?確認ポイントと対策
BFF 公開 セキュリティを見直したい方向けに、BFF がなぜ外部公開面になるのか、ブラウザ境界、認可、CSRF、直アクセス、下流トークンの確認ポイントを整理します。
Postmanコレクション公開で何が漏れるのか?情報露出を防ぐ運用
Postman collection 公開を見直したい方向けに、コレクション、ワークスペース、環境、サンプルリクエスト、共有 URL から何が見えるのか、どの順で閉じるべきか、再発防止の運用設計を整理します。
Entra app consentをどう統制するか?SaaS接続ガバナンスの基本
Entra app consent ガバナンスを見直したい方向けに、ユーザー同意、管理者同意、管理者同意ワークフローの切り分け、許可基準、棚卸し、例外運用を整理します。
社内サインインにパスキーを導入するには?移行設計と進め方
パスキー 社内導入を検討する方向けに、導入対象、前提条件、例外設計、段階展開、サポート、代替手段の考え方を整理します。
Microsoft Entraのトークン保護とは?どこまで有効かと導入時の注意点
Entra トークン保護を検討する方向けに、何に効くのか、何には効かないのか、前提条件、対象範囲、例外管理、導入時の確認ポイントを整理します。
MCPのセキュリティとは?企業利用で押さえたい権限・承認・接続境界
MCP セキュリティを調べる方向けに、接続境界、権限、承認、監査、第三者サーバー利用時の確認ポイントを公式仕様と一次情報ベースで整理します。
CDNやWAFの裏で実オリジンが露出する理由とは?確認方法と対策
オリジン露出 CDN を調べる方向けに、なぜ実オリジンが見えてしまうのか、どこから漏れやすいのか、確認手順、遮断策、例外運用を一次ソースベースで整理します。
MTA-STSとは?メール経路保護の観点で導入を考える
MTA-STS 導入を検討する方向けに、何を守るのか、MX・ポリシー・TLS-RPT の整え方、testing から enforce へ進める判断軸、止まりやすい運用論点を整理します。
SlackアプリのOAuth権限はどう評価する?連携アプリ統制の基本
Slack OAuth app リスクを見直したい方向けに、スコープの見方、app approval、app request、棚卸し、例外管理を公式 docs ベースで整理します。
Azure Storageの公開コンテナーをどう確認する?匿名アクセス監査の進め方
Azure Storage 公開コンテナー 確認をしたい方向けに、匿名アクセスがどこで決まるか、account 設定と container 公開レベルの関係、監査手順、例外管理、再確認ポイントを整理します。
Claude Mythos Previewとは?Anthropicが限定公開した新モデルの特徴・料金・使える場所を解説
Claude Mythos Preview を調べる方向けに、Project Glasswing との関係、限定プレビューの提供経路、価格、Bedrock の事前許可条件、脆弱性発見と『実際に悪用できるか』の検証で注目される理由を整理します。
TP-Linkルーターが危ないと言われる理由とは?DNSハイジャックで情報が盗まれる流れを解説
TP-Link ルーター DNSハイジャックを調べる方向けに、2026年4月に公表された事案で何が起きたのか、DNS 設定改ざんから Outlook や Microsoft 365 に見えるログイン先へ誘導される流れ、会社拠点と在宅勤務の両方に関係する理由、今確認したい設定と運用を整理します。
ChatGPT Pro 100ドルプランとは?100ドル版と200ドル版の違い・向く人を解説
ChatGPT Pro 100ドルを調べる方向けに、2026年4月10日時点の公式説明をもとに、個人向け 20ドル・100ドル・200ドルの違い、100ドルを検討する人、会社向け契約と混同しない見方、Codex 利用量との関係を整理します。
中国の国家級スーパーコンピューターで10ペタ流出疑惑とは?軍事・航空データが売りに出されたとされる事件を整理
中国 スーパーコンピューター 10ペタ 流出を調べる方向けに、2026年4月9日に報じられた 10ペタ超の流出主張で何が起きたとされているのか、どこまで公的に確認できるのか、国家級の計算基盤に多様な組織データが集まる怖さと日本企業が見直すべき点を整理します。
セキュリティレポートテンプレート
ASM報告を会議資料・経営報告・チケット起票へつなげるためのテンプレートと構成例を示します。