ASMとは

ASM(Attack Surface Management)とは、主に外部から見える自社のIT資産(攻撃対象領域)を把握・管理し、リスクを継続的に低減するセキュリティ手法。インターネット上に公開されているサーバやクラウド、ドメインなどを可視化することで、攻撃の入り口を減らす。

ASMとは|概要

ASMは"Attack Surface Management"の略称で、主にインターネット上から見える自社のIT資産(サーバ、ドメイン、クラウドなど)を洗い出し、把握・管理することで、攻撃リスクを減らすセキュリティ手法です。外部公開資産に特化した場合は「EASM(External Attack Surface Management)」と呼ばれることもあり、実務上はほぼ同義で使われます。ASMでは、攻撃者の視点で「自社のどこが攻撃対象になり得るのか」を可視化することでリスクを特定し、事前に対策を行います。

ASMの重要性が急速に高まっている背景には、

  • クラウド利用の拡大
  • リモートワークの常態化
  • シャドーITの増加

などから企業のIT資産が分散し、知らないうちに外部から見えている資産、つまり攻撃対象領域(アタックサーフェス)が増え続けている現状があります。そんな中、経済産業省も「ASM導入ガイダンス」を公開し、企業に対策を呼びかけています。

ASMの仕組み(4つのプロセス)

ASMは単なるツールではなく、継続的にリスクを管理するための一連のプロセスです。一般的に、ASMは以下の4つのステップで行います。

  • 攻撃面の発見(Discovery)
    公開されているドメインやIPアドレスなどを自動で洗い出します。OSINT(公開情報)やスキャン技術で、企業自身が把握していないサーバやサブドメインも検出します。
  • 情報収集と診断(Assessment)
    発見した資産に対して、OSやミドルウェアなどの情報を収集し、脆弱性や設定不備を特定します。
  • リスク評価(Prioritization)
    発見された脆弱性や設定不備を、リスクの影響度を踏まえて優先順位付けします。
  • 対応と軽減(Remediation)
    優先度の高い順に、ソフトウェアの更新や不要ポートの閉鎖などの是正措置を実施します。リスクおよび優先度が低いと判断したものは許容するという選択肢もあります。

ASMはこれを一度きりで終わらせず、継続的かつ自動的に繰り返すことが特徴です。特にクラウド環境では資産が常に変化するため、一度の対策では不十分であり、継続的に発見・評価・対応を繰り返すことが重要です。また、組織が認識していない資産が攻撃の起点となるケースも多く、ASMはこうした「見えていないリスク」を把握する役割を担います。

脆弱性診断やペネトレーションテストとの違い

脆弱性診断やペネトレーションテストとの違い

(出典)ASM導⼊ガイダンス|経済産業省

「脆弱性診断」や「ペネトレーションテスト」とASMとの最大の違いは、検査の対象範囲と実施する頻度にあります。

ASM 脆弱性診断・ペネトレーションテスト
対象範囲 把握漏れ(シャドーIT)を含む、インターネットからアクセス可能なすべての資産 事前に定義・指定された、把握済みのWebアプリケーションやネットワーク機器
実施頻度 ツールを用いて継続的・日常的(リアルタイムから週次など)に常時監視する リリース前や定期検査など、特定のタイミング(年1回〜数回程度)で実施する

脆弱性診断は「点」の対策であり、指定したシステムに疑似的な攻撃を仕掛けて詳細に検証します。一方、ASMは「面」の対策であり、組織全体の資産を全て洗い出し、広く浅く、常に監視し続けます。ASMで自社の全体像と未知の資産を把握し、重要なシステムには脆弱性診断を行うのが効果的です。

ASM導入のメリット

ASMを導入すると以下のようなメリットが期待できます。

シャドーITの解消

クラウドサービスの利用拡大により、IT部門が認知していない「シャドーIT」が増加しています。ASMを導入すれば、これらの未知の資産や意図しない公開設定を自動で検知できます。

ガバナンスとセキュリティ強化

定期的な診断だけでなく、ASMによる継続的な監視は組織のガバナンス強化に直結します。常に最新のセキュリティ状態を把握することで、社内の意識向上にも寄与します。

ASM導入時の注意点

強力なASMですが、ツールを導入するだけで全てが解決するわけではありません。ASMには以下のような注意点もあります。

  • 内部システムの詳細な脆弱性は検出できない
  • 誤検知/検知漏れのリスクがあり精査が必要
  • 発見されたリスクを誰がどう修正するのかなど、運用体制の整備が不可欠

こうした点を踏まえ、ツール選定だけでなく運用体制まで含めて自社の基準を満たすプロセスを構築することが重要です。自社のリソースだけで運用が難しい場合は、サポート付きのサービスを選ぶと安心です。

最新情報などをメールでお届けします。
メールマガジン登録

このページをシェアする

  • twitter

当用語辞典は「SCSK IT Platform Navigator」編集部が制作・運営しております。当用語辞典の掲載情報を利用することによって生じた不利益および損害等について弊社は一切の責任を負いませんので、予めご了承ください。掲載情報に関するご指摘、ご意見等はお問い合わせまでお寄せください。