AI at Censys（CensAI™ 関連機能）

概要

Censys は現在、AI at Censys を独立した訴求領域として位置付けています。 ここでは、AI を単なる付加機能ではなく、インターネット可視化、検索支援、 セキュリティ運用、自動化の加速要素として組み込んでいます。 Query Assistant、Censys MCP Server、 そして Internet Map を支える AI-driven scanning がその中心です。

主要機能

• AI-driven scanning：インターネット基盤の展開パターンを学習し、IP、ホスト、サービス、Web サイトの継続的な把握を支援
• Query Assistant：自然言語での質問から検索クエリ作成を支援し、クエリ構文への習熟負荷を低減
• Censys MCP Server：AI エージェントやコパイロットから、Censys Internet Map へ安全かつ統制されたアクセスを提供
• AI ワークフロー対応：ハンティング、トリアージ、調査、対応の各プロセスを自然言語ベースで高速化

導入効果

• 学習コストの低減：自然言語からの検索支援により、運用立ち上がりを高速化
• 調査の高速化：質問、検索、ピボット、検証までの手数を削減
• 自動化の拡張：AI エージェントと組み合わせた新しい運用フローに対応

Censys Attack Surface Management（ASM）

概要

Censys ASM は、組織の外部攻撃面を発見・棚卸し・監視・縮減するための機能です。 インターネット向け資産を継続的に組織へ帰属付けし、 ソフトウェア、ポート、証明書、DNS 関係、クラウドメタデータ、リスク指標などの文脈を付与します。 大規模組織向けには、Workspaces により事業部門、地域、子会社、買収先ごとの分離管理が可能です。

主要機能

• クラウドを含むインターネット向け資産の継続的な発見とアトリビューション
• 公開サービス、設定不備、脆弱なソフトウェア、危険なアプリケーションなどに対する 400種類以上 のリスク検出
• AWS、Azure、GCP 向け Cloud Connectors（最短4時間ごとに更新）
• Cloud Asset Context により、アカウント、プロジェクト、サブスクリプション、リージョン、タグなどの所有者・修復文脈を把握
• Wiz 連携により、ASM へ資産と関連コンテキストを取り込み可能
• Live Rescan により、過去に観測されたホスト／ポート上のサービスが現在も露出しているかを検証
• チケッティング、通知、下流システムとの連携による修復ワークフローの効率化

Censys Search（CenQL／Investigation Manager）

概要

Censys Search は、Censys Platform における主要ソリューションの1つです。 Hosts、Web Properties、Certificates を横断して、 インターネット上のシステム、サービス、IoT デバイス、証明書、関連資産を調査できます。 検索は CenQL を軸に、現行の統合データモデル上で実行されます。

ハイライト

• 65,535 全ポート空間の可視化：標準ポートだけでなく、非標準ポート上のサービスも調査可能
• Native AI Support：自然言語クエリ、会話型操作、MCP ベースの連携を通じて検索体験を高度化
• Historical Insight：証明書、サービス、設定の変化を履歴で追跡
• Relationship-Driven Discovery：IP、ドメイン、証明書、サービス間の関係を軸に関連インフラを発見
• Fingerprints, Exposures, & Threats：ソフトウェア、ハードウェア、CVE、脅威情報を単一画面で把握
• 証明書データベース：公開 X.509 証明書を継続的に追跡し、証明書由来の発見と監視に活用

Security Operations and Triage

概要

Security Operations and Triage は、アラートごとに外部コンテキストを付与し、 SOC / CSIRT / IR チームの判断を高速化するためのソリューションです。 Censys は、インターネット向け IP、サービス、証明書に対して 近リアルタイムおよび履歴ベースの可視性を提供し、 アラートの真偽判定、脅威フィードの検証、関連インフラの把握を支援します。

主要機能

• Accelerate Alert Triage：外部 IP やドメインに所有者、位置情報、ライブサービス情報を即時付与
• Validate Threat Intelligence：脅威フィードや IOC を相関し、アクティブ／関連／無害を見極め
• Discover Related Infrastructure：攻撃キャンペーンに関係する追加インフラを探索
• Eliminate Manual Processes：TIP、SIEM、SOAR、API 連携によりエンリッチメントを自動化
• Historical Context：過去時点のホスト状態、所有者、脅威状況を調査に活用
• Proactively Monitor, Alert, Block：新規攻撃者インフラを監視し、通知やブロック動作へ接続

Threat Hunting モジュール

Threat Hunting は、悪意あるインフラの検出・調査・追跡を効率化するモジュールです。 マルウェア、脅威アクター、TTP と、公開ホストや Web Properties を結び付けて可視化し、 現在の状態確認だけでなく、履歴を含む調査も支援します。

• マルウェア、アクター、戦術、インフラ文脈で拡張された検索可能な脅威データセット
• JA3、JA4、JARM などの指標を含む脅威データ
• Investigation Manager と CensEye によるピボット型の関連インフラ展開
• Live Discovery により、最新スキャン結果に存在しない場合でも、特定ポート上のサービス有無を確認可能
• Live Rescan と履歴ビューにより、変化の検証やインシデント対応を支援
• Censys ARC と Rapid Response に基づく調査主導の脅威可視化

Critical Infrastructure（ICS/OT）

概要

Critical Infrastructure は、重要インフラや ICS/OT 環境の保護に向けた Censys の主要ソリューションの1つです。 産業プロトコルに対応したスキャン、ベンダーフィンガープリンティング、 HMI 画面の文脈、履歴ビューなどを通じて、 公開された産業システムの露出把握、トリアージ、調査、報告を支援します。

主要機能

• Protocol & Vendor Intelligence：産業プロトコルとベンダー情報に基づく露出把握
• ICS/OT Exposure Coverage：26 種類の産業プロトコル、68 ベンダー、226 以上のフィンガープリントを検出・分類
• HMI Contextual Analysis：HMI 画面や表示文脈を用いた運用実態の把握
• Accelerate ICS Incident Response：履歴ビューと文脈情報を使って、アラートの確認、所有者特定、封じ込めを迅速化
• Simplify Compliance & Reporting：監査やセクター規制向けの説明・報告を支援

プラットフォームのデータセットと API

データセット

Censys Platform は、主に Hosts、Web Properties、 Certificates の 3 つのデータセットで構成されています。 これらは ASM、Search、Security Operations、Threat Hunting を共通基盤上で支えます。

API／SDK

• Platform API：現行の /v3 ベース URL により、検索、集計、資産取得、タイムライン参照、ライブスキャン操作を自動化
• Threat Hunting API：Live Discovery、CensEye ピボット、脅威履歴などの操作に対応
• 公式 SDK：Python、Go、TypeScript を提供
• Collections と監視ワークフローにより、アラート運用や自動化を実現
• Platform Data Downloads により、エンタープライズ向けデータエクスポートを支援
• MCP / AI 連携 により、AI エージェントを介した新しい運用自動化にも対応

Legacy Search からの移行

Legacy Search および Legacy Search API は、2026年9月に廃止予定です。 現在もレガシークエリ、virtual-host 中心の調査、旧 API 自動化を利用している組織は、 Censys Platform、CenQL、現行 Platform API への移行を進める必要があります。 そのための Query Converter と移行支援も提供されています。

ビジネス成果（IT/セキュリティ部門）

• 未知露出の削減：未管理のインターネット向け資産やクラウド露出を継続的に把握
• 優先順位の明確化：リスク検出と脅威文脈により、重要課題に集中
• SecOps の高速化：日々のアラート対応とトリアージに外部コンテキストを即時付与
• 調査能力の強化：単一の IOC や資産から、関連インフラ、証明書、Web Properties、脅威履歴へ展開可能
• 重要インフラ保護の高度化：ICS/OT 固有の露出把握と対応を支援
• 自動化基盤の近代化：Platform API、SDK、MCP を通じて、従来の運用を拡張

技術的優位性（Why Censys）

• インターネット規模の可視性：全 IPv4 空間の 65,535 ポートを継続的にスキャンし、高い網羅性を確保
• AI-driven scanning：インターネット基盤の展開パターンを学習し、継続観測を高度化
• 自動プロトコル検出：既定ポート前提ではなく、サーバー応答からサービスを識別し、非標準ポート上のサービスも把握
• 統合データモデル：Hosts、Web Properties、Certificates を 1 つのプラットフォームで調査可能
• SecOps 向け外部文脈：アラート単位で、所有者、位置情報、履歴、脅威関連性を補強
• ICS/OT への適応：産業プロトコル、ベンダー指紋、HMI 文脈を用いた分析に対応
• リサーチ主導のインテリジェンス：Censys ARC と Rapid Response が、世界規模のテレメトリを実践的な知見へ転換

1) エンタープライズの外部攻撃面可視化

アプローチ：企業ドメイン、ネットブロック、クラウド環境などの既知情報を起点に ASM を運用します。 ASM は追加資産を継続発見・帰属付けし、リスク検出、Collections、アラートにより新規露出を追跡できます。

2) Security Operations and Triage の高度化

アプローチ：外部 IP、ドメイン、証明書、IOC を起点に、所有者、位置情報、ライブサービス情報、履歴文脈を即時付与します。 SIEM、SOAR、TIP、API 連携を通じて、日々のアラート対応と脅威検証を効率化できます。

3) 脅威ハンティングとインシデント対応の加速

アプローチ：IOC、不審なホスト、証明書、バナーなどを起点に CenQL で検索し、 CensEye と Investigation Manager で関連インフラへ展開します。 その後、Live Discovery や Live Rescan で現在の露出状況を検証します。

4) クラウド露出ガバナンスとドリフト抑制

アプローチ：AWS、Azure、GCP を ASM に接続し、 Cloud Asset Context でアカウント、サブスクリプション、プロジェクト、リージョン、関連メタデータを把握します。 必要に応じて Wiz 由来資産も ASM に取り込み、外部露出ワークフローを強化します。

5) M&A・子会社・事業部門の統制

アプローチ：Workspaces を用いて、子会社、地域、新規買収先、事業部門ごとに攻撃面を分離管理します。 ダッシュボード、所有者ビュー、修復フローを組織横断で標準化できます。

6) TLS／証明書ハイジーン

アプローチ：証明書と、それに関連するホストや Web Properties を横断検索し、 期限切れ間近、不適切設定、弱い暗号、想定外の再利用などを把握します。 証明書履歴や Web Property 関係を確認することで、影響範囲を理解し、優先順位付けが可能です。

7) 重要インフラ／ICS・OT 環境の保護

アプローチ：産業プロトコル、ベンダー情報、HMI 文脈、履歴ビューを活用し、 公開された ICS/OT 資産を把握します。アラートの真偽確認、所有者の確認、露出報告、優先度付けを行い、 重要インフラや製造環境における露出リスクの縮減を支援します。