ASM（アタックサーフェスマネジメント）とは？導入のメリットと始め方を解説

自社が管理しているサーバーやクラウドサービス、ネットワーク機器などのIT資産を、すべて正確に把握できていると自信を持って言えるでしょうか。即答できないとすれば、把握できていない資産がリスクの起点となっている可能性があります。

クラウドサービスの利用拡大やテレワークの常態化により、企業が管理すべきIT資産の境界線は急速に曖昧になりました。管理台帳に載っていない「未把握サーバ」、「シャドーIT資産」や、設定ミスで公開状態になったままのクラウドストレージが、サイバー攻撃の格好の侵入口となっているのです。

こうした見えないリスクを可視化し管理するための新たな手法である「ASM（アタックサーフェスマネジメント）」について解説します。ASMが従来の脆弱性診断とどう違うのか、なぜ今導入が必要とされているのか、そして具体的にどのように始めればよいのかを分かりやすく紐解いていきます。

ASM（アタックサーフェスマネジメント）とは

ASMとは「Attack Surface Management」の略称であり、日本語では「攻撃対象領域管理」と呼ばれています。これは、サイバー攻撃を受ける可能性があるインターネット上に公開されている組織のIT資産（＝アタックサーフェス）を管理することです。管理の中には、アタックサーフェスを可視化することはもちろん、攻撃対象になり得る脆弱性や設定の不備を検出し備えることも含まれています。

項目	内容
名称	AttackSurfaceManagement（攻撃対象領域管理）
目的	外部公開資産の網羅的な把握とリスクの継続的な管理
視点	攻撃者視点（インターネット側からどう見えるか）
対象	サーバー、ドメイン、クラウド、SSL証明書、VPN機器など

管理対象のアタックサーフェス

ASMが管理する具体的な対象には、以下のようなものがあります。

• IPアドレス・ドメイン
• アプリケーション
• クラウドサービス
• VPN機器
• Webサーバ
• アカウント・メールアドレス
• SSL証明書
• DNSレコード
• API・トークン

管理対象には、管理者が把握しているIT資産だけでなく、シャドーITも含みます。シャドーITとは、管理者に許可なく従業員が独断で導入した機器や部門の判断で公開しているクラウドサービスなどのことです。ASMを実施すれば、公開されているすべてのIT資産を漏れなく管理できます。

リスクを継続的に検出し評価する取組み

IT資産の洗い出しは一度行えば終わりというものではありません。企業活動が続く限り、新しいサーバが立ち上がり、クラウドの設定が変更され、新たな脆弱性が日々発見されるからです。

ASMでは、こうした変化に対応するために、IT資産の状態を継続的にモニタリングします。24時間365日体制で資産の増減や設定の変化を監視し、新たなリスクが発生していないかを評価し続けるプロセスこそがASMの本質です。この継続性により、定期的な診断の合間に生じたセキュリティホールを攻撃者に突かれるリスクを低減できます。

外部からの攻撃者の視点で自社を監視

ASMの最大の特徴といえるのが「攻撃者の視点」を取り入れていることです。社内の資産管理台帳に基づいたチェックではなく、実際にインターネットを経由して外部から自社がどう見えているかを調査します。攻撃者は社内の事情など考慮せず、外部からアクセスできるあらゆる弱点を突いてきます。

したがって、守る側も同じ視点に立ち、攻撃者が悪用可能なポートが開いていないか、推測されやすいパスワードが使用可能な状態になっていないかなどを客観的に確認する必要があるのです。

ASMと脆弱性診断の違い

以下ではASMと脆弱性診断の特徴を詳しく解説するので、それぞれの違いを見ていきましょう。

ASMの特徴

ASMは、シャドーITなど管理者が把握していない機器・クラウドサービスも含むため、設定不備によって脆弱性があったり、人的ミスにより誤って外部に公開設定されていたりするIT資産のリスク特定が可能です。ただし、外部からアクセスできないIT資産に潜むリスクは特定できません。

また、ASMで収集できる脆弱性情報は、ソフトウェアのバージョンチェックや軽度の疑似攻撃にとどまります。ソフトウェアのセキュリティに感知されることはほとんどないので、通常業務に影響が少ないというメリットはあるものの、より詳細なリスクチェックを行いたい場合は、別の方法を検討する必要があるでしょう。

脆弱性診断の特徴

脆弱性診断では、Webサーバやクラウドサービス、アプリケーションなど、企業が把握しているIT資産をはじめ、インターネットからアクセスできないIT資産のチェックを行うことができます。診断対象に疑似攻撃を仕掛けて応答を評価するため、高い精度での脆弱性特定が期待できます。

ただし、診断する際は対象機器を指定する必要があるため、企業が把握していないIT資産については診断を実施できません。また疑似攻撃を行う際に、監視装置が反応したり機器に影響を与えたりする懸念点があります。

企業にASMが必要な理由

ASMはIT資産を適切に管理するために重要ですが、自社にとって本当に必要なものなのか、疑問に思う場合もあるかもしれません。そこで本章では、企業にASMが必要な理由を2つ紹介します。

IT資産が増加しているため

ASMが必要とされる背景には、クラウドサービスの普及やリモートワークの拡大、DX推進などにより、組織がネットワークを介して情報を取り扱う機会が増加したことがあります。また、ITツールの増加に伴い、組織が管理すべきIT資産も増え続けています。

こうしたIT資産を、手動ですべて管理していくのは困難です。そこで、ASMを導入して管理をプロセス化できれば、手間をかけずに効率的にIT資産を管理できます。

攻撃が多様化・高度化しているため

サイバー攻撃が多様化・高度化しているため、社内で未把握のリスクがあると被害に遭う可能性が高まってしまいます。被害に遭わないためには、ASMによる適切な管理が大切です。

また近年は、脆弱性の発見から対策実行までのわずかな期間に攻撃を仕掛けてくるゼロデイ攻撃も増加しており、従来のセキュリティ対策では攻撃を防ぎきれないケースも少なくありません。しかし、ASMを導入すれば、サイバー攻撃の対象となり得るIT資産の脆弱性を早期に発見できます。社内で未把握のリスクに随時対応する運用を続けることで、被害に遭う可能性を軽減できるでしょう。

アタックサーフェスを管理する3つのメリット

ASMを導入することで、組織のセキュリティ体制はどのように強化されるのでしょうか。単に管理の手間が増えるだけではなく、経営的なリスク管理の観点からも大きなメリットが得られます。ここでは具体的な3つのメリットについて解説します。

メリット	具体的な効果
リスクの可視化	未知の資産やシャドーITを発見できる
対応の効率化	リスクの高い箇所から優先的に対策できる
運用の最適化	自動化により担当者の調査負担を軽減できる

未把握のIT資産のリスクを発見できる

ASMの大きなメリットは、これまで把握できていなかった外部公開資産やリスクを可視化できる点にあります。

一般に、組織が管理していると認識しているIT資産と、実際に公開されている資産の間には乖離が生じることがあり、未把握資産が攻撃対象となるリスクが指摘されています。NISTやCISなどのセキュリティフレームワークでも、資産管理はセキュリティ対策の前提として最優先事項に位置付けられています。

こうした資産には、サポート切れのサーバーや公開状態の検証環境などが含まれ、対策が不十分なまま放置されやすい点が問題です。ASMを活用することで、これらの見えないリスクを継続的に把握し、攻撃に悪用される前に対処できるようになります。

脆弱性への対応の優先順位が明確になる

日々公開される膨大な数の脆弱性情報に、すべてのIT資産で即座に対応することは現実的に不可能です。ASMツールは、発見した資産のOSやバージョン情報をもとに、既知の脆弱性と照らし合わせてリスクレベルを評価します。

さらに、その資産が実際に外部から攻撃可能な状態にあるかどうかも考慮されるため、担当者は「今すぐ対処すべき危険な資産」と「様子見でよい資産」を明確に区別できます。限られたリソースの中で、本当に危険な箇所から優先的に対策を打てるようになるため、セキュリティ投資の費用対効果が高まります。

セキュリティ業務の負担を軽減できる

IT資産の棚卸し業務は、多くの企業でExcelなどの台帳を使って手作業で行われており、担当者にとって多大な負担となっています。しかも、手動での更新はヒューマンエラーが避けられず、情報の鮮度もすぐに落ちてしまいます。

ASMを導入すれば、資産の探索や情報の更新が自動化されるため、棚卸しにかかる工数を大幅に削減できます。担当者は情報の収集という単純作業から解放され、発見されたリスクへの対策検討や、セキュリティポリシーの策定といった、より付加価値の高い業務に集中できるようになります。

ASM実施のプロセス

1. IT資産を特定する

ASM実施のプロセスではまず、サイバー攻撃の攻撃対象とされるハードウェア・ソフトウェア・クラウド資産などをアウトプットし、管理すべきIT資産を特定します。

なお、特定されるIT資産の例として、以下のものがあります。

既知の資産	組織が認識・管理しているIT資産。サーバ・デバイス・オンプレミス・クラウド・Webサイトなど。
不明な資産	組織が認識していないIT資産。従業員が許可なく導入したデバイス・アプリケーションなどのシャドーITが該当。
サード・パーティーの資産	組織は所持していないが、その資産が組織のITインフラストラクチャーまたはデジタル・サプライチェーンの一部となっているもの。SaaSアプリケーション・APIなど。
子会社の資産	組織の子会社が所有するIT資産。
悪意のある資産	悪意ある第三者によって作成、あるいは盗まれた資産。フィッシングサイト・ダークウェブ上で取引されている機密データなど。

2. IT資産の情報収集を行う

次に1つ目のプロセスで特定したIT資産について、情報収集を行います。収集する情報は、OS、ソフトウェア、バージョン、ポート番号などです。

情報収集する際は調査対象に影響を及ぼさないように、通常のアクセスの範囲で実施します。

3. IT資産のリスク評価を行う

2つ目のプロセスで収集した情報を基に、IT資産のリスク評価を行います。リスク評価では既知の脆弱性情報と収集した情報を突合することで、他の脆弱性が潜んでいないかを判断します。

組織のセキュリティリスクは日々変化するため、IT資産を継続的に監視してリスクを評価することが重要です。ASMで継続的にIT資産をモニタリングすることで、企業が未把握のリスクや設定不備による新たな脆弱性を早期発見できます。

ASMを導入したくても具体的に何をすべきかわからない場合は、経済産業省が作成した『ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～』^※1を参考にするといいでしょう。

ガイダンスにはASMの定義や実施計画の策定方法、ASMを導入した企業の事例などがまとめられています。ASM導入に必要な基本情報が分かるため、自社でまず何をすべきなのか検討する際のヒントになります。ガイダンスを活用し、ASM実施の道筋を立てましょう。

ASMに必要なツール

効率的にリスクの検出や評価を行うには、ASMツールの利用が不可欠です。ASMツールを利用すると、リスクに関する情報や評価内容が可視化されるため、セキュリティ対策を立てやすくなります。

なおASMツールには、「検索エンジン型」と「オンアクセス型」の2種類があります。

検索エンジン型

ASMツールの提供事業者が構築したデータベースにユーザがアクセスすることで情報を収集します。自社でスキャン信号を発信する必要がないため、導入したその日から過去の履歴を含めた資産情報を抽出できる点が最大のメリットです。一方で、データベースの更新頻度に依存するため、最新の変更が反映されるまでにタイムラグが生じる可能性がある点には注意が必要です。

オンアクセス型

ユーザが検索を実行して対象に通信を行い、リアルタイムでリスクに関する情報を収集します。

ドメイン名やIPアドレス範囲を指定することで、稼働しているサービスやOSのバージョン、SSL証明書の有効期限などを極めて高い精度で特定できます。最新の脆弱性情報をいち早くキャッチし、自社の資産が該当するかどうかを直接確認できるため、より実効性の高いセキュリティ管理を実現します。

ASM導入の際のリスクマネジメント

ASMは、単にツールを導入して脆弱性を発見するだけでは完結しません。発見された膨大な資産やリスクに対して、組織としてどのように向き合い、対処の優先順位を決定するかという「リスクマネジメント」のプロセスが不可欠です。

IT資産の重要度に応じたグルーピング

ASMによって検出された資産は、一律に扱うのではなく、その資産が停止したり情報漏洩したりした際の「ビジネスインパクト」に基づいて分類する必要があります。

例えば、顧客の個人情報を扱う本番サーバーと、公開情報のみを掲載しているプロモーション用の特設サイトでは、許容されるリスクレベルが異なります。あらかじめ資産を「重要」「一般」「低」などのカテゴリにグルーピングしておくことで、有事の際の迅速な判断が可能になります。

継続的なモニタリングと評価サイクルの確立

サイバー攻撃の手口や新たな脆弱性（CVE）は日々更新されるため、リスク評価は一度きりで終わらせてはいけません。ASMの特性を活かし、24時間365日の継続的なモニタリング体制を敷くことが重要です。

新たな資産が検出された際や、既存資産に重大な脆弱性が見つかった際に、誰が、いつまでに、どのような基準で評価を下すのかというワークフローを標準化しておくことで、管理の形骸化を防ぐことができます。

リスク低減に向けた具体的な対応策の選定

評価の結果、リスクが高いと判断されたものに対しては、具体的なアクションを実行します。これには、OSやミドルウェアのアップデートによる「修正」だけでなく、WAF（Web Application Firewall）の導入による「緩和」も含まれます。

また、リスクが極めて低く、修正コストが見合わない場合には、組織としてそのリスクを「受容」するという意思決定も必要です。これらの対応結果をログとして残し、次のリスクマネジメントサイクルへフィードバックすることで、組織全体のセキュリティレベルを底上げします。

ASMを導入してセキュリティを強化しよう

本記事では、ASMの概要や必要性について解説しました。近年はクラウドサービスやSaaSなど、インターネットを介したサービスやツールの利用が増えたため、企業が守るべきIT資産も把握が困難になりつつあります。サイバー攻撃による被害のリスクに備えるには、ASMを導入して効率的にセキュリティ対策を推進することが重要です。

ASMを導入すれば、人材が不足している場合でも定常的な監視が可能で、セキュリティ対策に割くコストを削減できます。ASM導入に向けて何から手をつけたらいいのかわからない場合は、経済産業省が作成しているガイダンスを参考に、ツールやシステムの導入を検討してみましょう。

参考情報

※1 経済産業省「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」