# ASM・CTEM・脆弱性診断・レッドチーム

(55記事)

フォローする

記事

ID・アクセス管理・認証

アサヒやアスクルにも共通…？北朝鮮系ハッカー「9時5時勤務」の実態と脅威の手口

アサヒやアスクルにも共通…？北朝鮮系ハッカー「9時5時勤務」の実態と脅威の手口

2025/11/05

5

日本企業向けのサイバー攻撃が猛威を振るっている。各社被害の直接の原因はいまだ解明されていないが、こうした高度で大規模な攻撃元の一つが国家支援のハッカー集団の巧妙な手口だ。8月には米国ハッカーらが北朝鮮諜報機関のコンピューターに侵入し、スパイ活動の詳細が明らかにされた。朝9時から夕方5時まで規則正しく「勤務」する実態も含め、暴露データから見える脅威の実像と対策方法を明らかにしよう。

記事

ASM・CTEM・脆弱性診断・レッドチーム

ガートナー流「AI時代のCTEM構築」進め方、成功「5ステップ」と推奨ツールとは

ガートナー流「AI時代のCTEM構築」進め方、成功「5ステップ」と推奨ツールとは

2025/05/28

6

年々脅威を増すセキュリティインシデントは、もはやどの企業にとっても他人事ではない。各企業のセキュリティ部門は自社を守るべく対策に奔走しているが、対応するべき範囲や課題が増加し、「後追い」や「場当たり」的な対策を繰り返さざるを得ない状況が生じがちだ。そうした状況を改善し、攻撃を受ける「前」に耐性を高めることができるのが「CTEM（継続的脅威エクスポージャー管理）プログラムの構築である。「AI時代」に効果的なCTEM構築のプロセスや、効果的なツール導入などについて、ガートナーの鈴木弘之氏が解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

ホワイトハッカーの「闇堕ち」続出？サイバー犯罪組織化は「ヤバい事態」と言えるワケ

ホワイトハッカーの「闇堕ち」続出？サイバー犯罪組織化は「ヤバい事態」と言えるワケ

2025/01/09

6

近年、サイバー攻撃・サイバー犯罪が組織化する動きが顕著になっている。組織化された犯罪グループは、通常の企業と同じように求人を出して人材を募集したり、上司と部下のような序列関係、さらに「開発部」や「人事部」といったビジネスユニットさえ存在する場合もある。こうした攻撃者側の環境整備が進むことにより、これまで「ホワイトハッカー」として、政府や企業に協力していた人材がサイバー犯罪に加担する「闇堕ち」が生じる可能性も否定できない。サイバー攻撃グループが組織化・高度化することで生じる危険性について解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

CTEM（継続的脅威エクスポージャー管理）を基礎からわかりやすく解説 ASMとの違いとは

CTEM（継続的脅威エクスポージャー管理）を基礎からわかりやすく解説 ASMとの違いとは

2024/12/18

18

CTEM（Continuous Threat Exposure Management：シーテム）とは、ガートナー社が2022年に提唱した言葉で、サイバー攻撃の対象となりうるIT資産が受ける脅威に対処するためのプログラム（手法、プロセス、フレームワーク）のこと。クラウドサービスやリモートワーク、IoTデバイスの普及が進み、組織や企業のIT資産は社内外のネットワーク上で広範囲に分散している。そうした中、CTEMは変化する脅威環境に合わせて継続的に脅威を見つけて改善していくための有効な手段として注目されている。本記事では、CTEMを基礎から解説するとともに、実装のための5つのプロセス、導入にあたっての注意点、ASM（アタックサーフェスマネジメント）との違いなどを解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

アタックサーフェスマネジメント（ASM）とは何かを図解、セキュリティ専門家が語る製品選定のキモとは

アタックサーフェスマネジメント（ASM）とは何かを図解、セキュリティ専門家が語る製品選定のキモとは

2024/12/05

21

アタックサーフェス（Attack Surface）とは、ハードウェアやソフトウェアの弱点により、攻撃者に脆弱性を悪用する機会を提供している領域のこと。日本語では「攻撃対象領域」と訳される。インターネットやクラウドの普及により、ランサムウェアなどの被害も増加し、アタックサーフェスの監視と管理は急務となっている。本記事では、アタックサーフェスを効果的に監視・管理するASM（Attack Surface Management）についてまとめた。また、ASMと脆弱性診断との違い、ASMツール導入時の注意点、製品比較や選定のポイントについても解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

サイバー攻撃「事前対策」はわずか15％の現実、ガートナーが語る「CTEM」成功のコツ

サイバー攻撃「事前対策」はわずか15％の現実、ガートナーが語る「CTEM」成功のコツ

2024/11/27

10

年々複雑化するセキュリティの脅威への対策は、今やどの企業にとっても避けて通れない課題だ。そうした中で、脅威への対応効率化に向け関心を集めつつあるのが、「継続的な脅威エクスポージャー管理（Continuous Threat Exposure Management：CTEM）」だ。攻撃を受ける前にリスク低減を目指す同手法だが、従来のセキュリティ対策と具体的に何が異なるのか。CTEMの特徴について、実践に重要となる「3つの段階」とともにガートナーの鈴木弘之氏が解説する。

最新の記事をもっと見る

# ASM・CTEM・脆弱性診断・レッドチームのニュース

記事

ASM・CTEM・脆弱性診断・レッドチーム

OpenAIがAIセキュリティ企業Promptfooを買収、企業向け基盤Frontierへ統合

OpenAIがAIセキュリティ企業Promptfooを買収、企業向け基盤Frontierへ統合

2026/03/20

2

OpenAIは2026年3月9日、生成AIアプリケーションのセキュリティテストおよび評価プラットフォームを提供するPromptfooを買収すると発表した。買収に伴い、Promptfooの技術はOpenAIの企業向けAI基盤であるFrontierに組み込まれ、法人利用における安全性や評価機能が強化される。既存のオープンソースツールは今後も継続して提供される。

最新のニュースをもっと見る

# ASM・CTEM・脆弱性診断・レッドチームのスペシャル（記事）

広告掲載・PRのお問い合わせ

記事

製造業セキュリティ

攻撃者視点で“見えないリスク”を定量化せよ！資生堂・NEC・NASAが選んだ新指標

攻撃者視点で“見えないリスク”を定量化せよ！資生堂・NEC・NASAが選んだ新指標

2026/03/19

クラウドの普及で、企業のITはもはや「自社の中」だけでは完結しなくなった。海外拠点のシステム、委託先や取引先が使うクラウドまで含めて、IT資産はサプライチェーン全体に広がっている。問題は、自社がどれだけ対策していても、サプライチェーンのどこか1社の弱点が“侵入口”になることだ。取引先は膨大で、すべてを管理する余力はない。限られた人員と予算で、何をどこまで可視化し、経営や投資家に説明できるガバナンスをどう築くべきか。資生堂・NEC・NASAも導入する攻撃者視点での“見えないリスク”を定量化する方法を考える。

記事

ASM・CTEM・脆弱性診断・レッドチーム

大手企業も次々と餌食に──“攻撃が日常”の世界で自社を守る「脆弱性対策の内製化」

大手企業も次々と餌食に──“攻撃が日常”の世界で自社を守る「脆弱性対策の内製化」

2025/12/01

日本企業が直面する“見えない危機”が深刻化している。2025年9月末にアサヒグループHDがランサムウェア攻撃を受け、国内の受注・出荷が一時停止した。翌10月には通販大手アスクルもランサムウェア攻撃の被害を受けている。だがこれらは「氷山の一角」に過ぎない。DXとAIの進展により企業の開発能力は飛躍的に向上した一方で、サイバー攻撃側も同様の技術を駆使し、企業のサプライチェーンを麻痺させる事例が頻発している。もはや経営者にとって、サイバー攻撃は「リスク要因」ではなく「必須対応事項」である。では、どうすればこの“見えない危機”に先手を打てるのか──その答えを探る。

記事

ASM・CTEM・脆弱性診断・レッドチーム

DX成功の裏で進む“見えない失敗、AI×セキュリティの本質とは？

DX成功の裏で進む“見えない失敗、AI×セキュリティの本質とは？

2025/07/10

DXの進展とともに、Webアプリやサービスを短いサイクルで市場に投入・アップデートする企業が増えてきた。こうした企業に共通しているのが、開発の内製化とアジャイル開発の採用だ。ただし、これらのDX先進企業で新たな問題となっているのが「セキュリティ」だ。問題の解決には“戦略的”な対策が求められる。ここでは、その要諦とAIを活用した具体的な対策を解説する。

記事

セキュリティ総論

実は「危険度順」ではない？脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説

実は「危険度順」ではない？脆弱性対策の正しい「優先順位」のつけ方を辻伸弘氏が解説

2025/07/01

情報システム担当者やセキュリティ担当者にとって大きな課題となっているのが、年間を通じて膨大な数が公表される脆弱性への対応である。これらに効果的に対処するには、まず優先順位を明確にすることが不可欠だ。SBテクノロジーでプリンシパル セキュリティリサーチャーを務める辻伸弘氏は、「正しい対策を講じるには、正しい現状把握が重要」と語る。脆弱性が発生する背景とそれらにどう対応すべきかについて、実例やデータを交えて辻氏が解説する。

記事

ASM・CTEM・脆弱性診断・レッドチーム

DX第3フェーズの壁は“見えないWeb”、何がセキュリティの盲点なのか？

DX第3フェーズの壁は“見えないWeb”、何がセキュリティの盲点なのか？

2025/06/27

経済産業省が2018年に公開した「DXレポート」では、DX実現までの3つのフェーズが定義されている。1つ目がアナログデータをデジタル化する「デジタイゼーション」、2つ目が業務をデジタル化する「デジタライゼーション」、そして3つ目がビジネスをデジタル化する「デジタルトランスフォーメーション（DX）」だ。レポート公開から7年が経過し、いよいよ第3フェーズに入る企業が増えつつあるいま、“ある深刻な課題”が企業を悩ませている。ここでは、その問題を明らかにし、実際にあった顧客情報漏洩の事案を参考に解決の道筋を探る。

記事

ASM・CTEM・脆弱性診断・レッドチーム

“攻め”の検証が守りを変える──金融庁が実証した「TLPT」の真価とは

“攻め”の検証が守りを変える──金融庁が実証した「TLPT」の真価とは

2025/06/25

サイバー攻撃の被害が拡大している。直近でも、証券口座が乗っ取られて勝手に株が売買される被害が発生している。企業は二重三重の対策をしているはずなのに、なぜ被害は減らないのか。こうした中、金融庁が地域金融機関に対するある取り組みを実施した。ここでは、その取り組みから見えてくる被害が減らない背景と、金融機関を初めとする日本企業が、いま取り組むべき重要な対策について、金融庁 総合政策局 リスク分析総括課　ITサイバー・経済安全保障監理官齊藤 剛 氏との談話を基に考察する。

最新のスペシャル（記事）をもっと見る

広告掲載・PRのお問い合わせ

PR

PR

PR

# ASM・CTEM・脆弱性診断・レッドチームのイベント・セミナー

イベント・セミナー情報掲載（無料）

イベント・セミナー

オンライン 2026/03/19-04/18

オンライン 2026/03/19-04/18

【見逃し配信】Security Management Conference 2026 Spring REPLAY

【見逃し配信】Security Management Conference 2026 Spring REPLAY

 

世界情勢の悪化やサイバー犯罪の高度化により日本企業を取り巻く環境も不確実性を増しており、サプライチェーンへの攻撃や重要インフラへの脅威の対策が喫緊の課題となっています。一方で企業はAIデジタルを駆使しながらデジタル化を進めており、DX推進とセキュリティ強化の両立という難題を突き付けられてい ます。AIの進化によるリスクや不確実性に対応し、DXを持続的な成長につなげるために企業は何をすべきでしょうか？当カンファレンスでは企業とセキュリティを取り巻く現状を整理するとともに、課題解決のためのさまざまな情報をご紹介してまいります。

イベント・セミナー

オンライン 2026/04/14

オンライン 2026/04/14

専門家ゼロでもできるシフトレフト

専門家ゼロでもできるシフトレフト

 

新体制が始まる4月。リリーススピードと品質の両立が求められる一方で、「これ以上やることは増やせない」というのが現場の本音ではないでしょうか。シフトレフトやDevSecOpsの必要性は広く認識されていますが、多くの手法は専門知識を持つエンジニアの存在を前提としています。その結果、ツールの複雑さや「判断の属人化」に直面し、シフトレフトが理想のまま止まってしまうケースが後を絶ちません。 本ウェビナーでは、AIを活用した脆弱性診断を起点に、専門家に依存せず"回り続ける"シフトレフトを実装する方法を解説します。人手をかけずに運用できる設計思想、判断負荷を最小化する仕組み、CI/CDと連携した自動化の具体像を、デモと成功事例を交えてご紹介。自社の体制に当てはめて描ける実践ロードマップをお持ち帰りいただけますので、ぜひご参加ください。 こんな課題を抱える方におすすめ ・シフトレフトに取り組みたいが、専門人材不足で前に進めていない方 ・脆弱性診断を内製し、開発プロセスに組み込みたいとお考えの方 ・Webアプリケーションの品質向上とスピードを両立させたい方

イベント・セミナー

東京都 2026/04/23

東京都 2026/04/23

ここでしか聞けない、各社ツールの“リアル”　脆弱性診断ツール比較・体験セミナー

ここでしか聞けない、各社ツールの“リアル”　脆弱性診断ツール比較・体験セミナー

 

内製化を成功させる上で、重要な意思決定の一つが診断ツール選びです。しかし実際には、「違いがわからない」「結局どれが自社に合うのか判断できない」といったお声が少なくありません。ツール選びでは、コストだけではなく、精度や操作性、運用のしやすさを含め、自社の体制や目的に合ったものを見極めることが大切です。 本セミナーでは、主要な診断ツールを俯瞰しながら、それぞれの特徴や違いを整理し、何を基準に比較すべきかを解説します。根拠を持って選ぶために必要な視点をお持ち帰りいただけます。 また、クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」のハンズオンセッションもご用意しています。AeyeScanによる自動診断と手動診断の両方を体験することで、プロの視点やツールの使いこなし方をより実感いただけます。 また、ハンズオンを通じて生じた疑問や不安は、セキュリティエンジニアとして豊富な経験を持つ当社関根に、その場で直接ご質問・ご相談が可能です。「内製化を成功させたい」という方に、次のステップにつながる機会をご提供します。ぜひご参加ください。

最新のイベント・セミナーをもっと見る

イベント・セミナー情報掲載（無料）

イベント・セミナーランキング

1. 1
   オンライン・東京 2026/04/28

   『AIアウトプット超大全』実践講座

2. 2
   オンライン 2026/04/21

   製造DX時代のOTセキュリティ

3. 3
   オンライン 2026/04/23

   DXを加速するゼロトラストセキュリティ 2026 春

もっと見る

# ASM・CTEM・脆弱性診断・レッドチームのホワイトペーパー

ホワイトペーパー

ASM・CTEM・脆弱性診断・レッドチーム

もう「コスト高すぎ」で悩まない、“AI活用”でまるっきり変わる脆弱性診断の新常識

もう「コスト高すぎ」で悩まない、“AI活用”でまるっきり変わる脆弱性診断の新常識

2025/12/17

サイバー攻撃が巧妙化し、Webサイトやネットワークの脆弱性を狙った攻撃が増加している。脆弱性診断の必要性は理解しているものの、高コストや専門知識不足により導入に踏み切れない企業は多い。また、従来の脆弱性診断手法であるツール診断と手動診断はそれぞれコスト・精度・納期などの面で一長一短があり、注意点を補う必要がある。こうした課題の解決策として注目されているのが、AIを活用した脆弱性診断だ。本資料は、AI診断の仕組みと実践方法について解説する。

ホワイトペーパー

ASM・CTEM・脆弱性診断・レッドチーム

「1度やったからから大丈夫」は危険？ 脆弱性診断を「定期的」に実施すべき理由

「1度やったからから大丈夫」は危険？ 脆弱性診断を「定期的」に実施すべき理由

2025/12/17

サイバー攻撃の被害は拡大し、2015年から2023年にかけて攻撃件数が9.8倍に急増している。こうした状況下で、セキュリティ強化策として脆弱性診断を採用する企業が増加している。しかし、「1度診断を実施したから大丈夫」と誤った認識を持つ企業も少なくない。真に重要なのは「定期的な脆弱性診断の実施」である。事実、2025年4月からは経済産業省とIPAがECサイト事業者に定期診断を強く推奨している。なぜ1度の診断では不十分なのか、その詳細を解説する。

ホワイトペーパー

ASM・CTEM・脆弱性診断・レッドチーム

なぜ「脆弱性診断」は時間がかかる？スピード×セキュリティを叶える「新しい内製化」

なぜ「脆弱性診断」は時間がかかる？スピード×セキュリティを叶える「新しい内製化」

2025/12/01

デジタル化の加速により、開発サイクルが劇的に高速化する一方で、サイバー攻撃は9年間で約10.8倍に急増し、開発現場は「スピード」と「セキュリティ」という要求の板挟みに苦しんでいる。この要求に応えるには「脆弱性診断」が不可欠であるが、外部委託する場合は工数がかかり、内製化するにはセキュリティ人材が不足している。その他にも、診断品質のバラつき、網羅性の欠如など、さまざまな課題が立ちはだかる。本資料は、開発スピードを犠牲にすることなくセキュリティ品質を向上させる実践的なDevSecOps戦略について解説する。

最新のホワイトペーパーをもっと見る

# ASM・CTEM・脆弱性診断・レッドチームの動画

動画

メールセキュリティ

「我が社は大丈夫なのか？」という経営陣からの問いに応えるには ～ランサムウェア特化型BCP構築の方法論～

「我が社は大丈夫なのか？」という経営陣からの問いに応えるには ～ランサムウェア特化型BCP構築の方法論～

2026/04/09

「我が社は大丈夫なのか？」という経営陣からの漠然とした問いに応えるには、技術的な対応だけでは片手落ちで、サイバーレジリエンスを組み込んだ「次世代型BCP」が必須です。技術的な「検知・封じ込め・システム復旧」に加え、経営としての「対応方針の明確化や外部公表」、そして現場での「BCP」をいかに連動させるか。「次世代型BCP」をリードしてきたニュートンが、実例に基づいた構築手法を解説します。 ※ SBクリエイティブ株式会社 (ビジネス＋IT) 主催 2026年3月11日～12日「セキュリティマネジメントカンファレンス 2026 春」より

動画

メールセキュリティ

ランサムウェア／サプライチェーン侵害リスクを最小化するクレデンシャル戦略 - 特権アクセス・パスワード管理による侵入/横展開防止・ゼロトラスト強化 -

ランサムウェア／サプライチェーン侵害リスクを最小化するクレデンシャル戦略 - 特権アクセス・パスワード管理による侵入/横展開防止・ゼロトラスト強化 -

2026/02/04

Keeper Securityのクレデンシャル戦略にて、ランサムウェアやサプライチェーン経由の侵入・横展開を抑止。特権/パスワード/セッション管理と監査証跡でアクセス権・権限の最小化とゼロトラスト、インシデント対応を両立。 ※ SBクリエイティブ株式会社 (ビジネス＋IT)　主催　2025年12月10日-11日 「セキュリティマネジメントカンファレンス 2025 冬」より

動画

メールセキュリティ

『うちは大丈夫か！？』経営層の問いに答える３つの鍵　～ガイドライン・費用・リスク分析～

『うちは大丈夫か！？』経営層の問いに答える３つの鍵　～ガイドライン・費用・リスク分析～

2026/02/02

「社長に“うちは大丈夫か？”と聞かれて、どう答えればいいのか分からない」そんな悩みを抱える情報システム担当者は少なくありません。サイバー攻撃の脅威は年々巧妙化し、報道されない“静かな被害”が中堅・中小企業を中心に広がっています。本講演では、最新の被害状況と「知らなかった」では済まされないセキュリティ関連ガイドラインのポイントを解説し、経営層に“伝わる”説明の仕方や、対策に必要な費用の算出方法など具体的に解説します。 ※ SBクリエイティブ株式会社 (ビジネス＋IT)　主催　2025年12月10日-11日 「セキュリティマネジメントカンファレンス 2025 冬」より

最新の動画をもっと見る