BBSec、Webサイトの外部スクリプトを監視する新サービスを開始

現代の企業Webサイトでは、広告や分析、SNS連携など多くの外部スクリプトが利用されています。1サイトで数十から百を超えるケースも珍しくありません。問題は、これらのスクリプトを提供するドメインが攻撃者に乗っ取られたり、期限切れドメインが悪用されたりするリスクがある点です。自社の脆弱性診断やWAFだけでは防ぎきれないため、外部ドメインの安全性を継続的に監視する必要性が高まっています。

BBSecの新サービスは、Observability製品のリアルユーザーモニタリング（RUM）データを活用します。実際のユーザーがサイトにアクセスした際の通信を基に、読み込まれるサードパーティドメインを自動で収集し、一覧化します。単にドメインをリストアップするだけでなく、複数の脅威データベースと照合してリスクスコアを算出します。さらに、RDAP（WHOISに代わるプロトコル）を用いてドメインの登録情報を定期的にチェックし、期限切れ間近や新規登録のドメインを警告します。

サービスは、リスクの特定だけでなく、対応の効率化も支援します。外部スクリプトがリダイレクトを経由して最終的にどのドメインにアクセスするか、その読み込みチェーンを追跡して可視化します。また、どのWebページがどの外部ドメインを読み込んでいるかをマッピングするため、問題が発生した際の影響範囲の特定を迅速に行えます。定期的に生成されるレポートでは、新たに検出されたドメインやリスクレベルが変化したドメインの差分が明示され、経営層への報告にも利用できるとしています。

BBSecの滝澤貴志代表取締役社長は、本サービスを通じて、外部スクリプトを利用したWebサイトにおけるリスク対策を支援し、企業のWebガバナンス強化に貢献したいと述べています。

A. 企業のWebサイトが読み込んでいる広告や分析ツールなどの外部ドメインを自動的に収集し、その安全性を継続的に監視するサービスです。

A. WAFが自社サーバーへの攻撃を防ぐのに対し、このサービスは自社サイトが利用している外部サービス（サードパーティ）のドメインそのもののリスクを監視します。

A. 自社サイトで多くの外部サービス（Googleタグマネージャー、広告、チャットボット等）を利用している企業の、Web担当者やセキュリティ担当者に向いています。

• https://www.gomez.co.jp/production/script_monitoring.html

O!Productニュース編集部からのコメント

RUM（実際のユーザーアクセスデータ）を使って外部ドメインを「見える化」する手法が現実的です。数十もの外部タグを手動で管理している担当者には、特に重宝されそうなサービスですね。

引用元：PR TIMES