AI時代に求められる新たなセキュリティ対策、進化したサイバー攻撃を防ぐには「人」への教育が必須
- セキュリティ
- 教育
- サイバー攻撃
- ../../../article/2024/09/knowbe4.html
ASM(Attack Surface Management)とは、主に外部から見える自社のIT資産(攻撃対象領域)を把握・管理し、リスクを継続的に低減するセキュリティ手法。インターネット上に公開されているサーバやクラウド、ドメインなどを可視化することで、攻撃の入り口を減らす。
ASMは"Attack Surface Management"の略称で、主にインターネット上から見える自社のIT資産(サーバ、ドメイン、クラウドなど)を洗い出し、把握・管理することで、攻撃リスクを減らすセキュリティ手法です。外部公開資産に特化した場合は「EASM(External Attack Surface Management)」と呼ばれることもあり、実務上はほぼ同義で使われます。ASMでは、攻撃者の視点で「自社のどこが攻撃対象になり得るのか」を可視化することでリスクを特定し、事前に対策を行います。
ASMの重要性が急速に高まっている背景には、
などから企業のIT資産が分散し、知らないうちに外部から見えている資産、つまり攻撃対象領域(アタックサーフェス)が増え続けている現状があります。そんな中、経済産業省も「ASM導入ガイダンス」を公開し、企業に対策を呼びかけています。
ASMは単なるツールではなく、継続的にリスクを管理するための一連のプロセスです。一般的に、ASMは以下の4つのステップで行います。
ASMはこれを一度きりで終わらせず、継続的かつ自動的に繰り返すことが特徴です。特にクラウド環境では資産が常に変化するため、一度の対策では不十分であり、継続的に発見・評価・対応を繰り返すことが重要です。また、組織が認識していない資産が攻撃の起点となるケースも多く、ASMはこうした「見えていないリスク」を把握する役割を担います。

(出典)ASM導⼊ガイダンス|経済産業省
「脆弱性診断」や「ペネトレーションテスト」とASMとの最大の違いは、検査の対象範囲と実施する頻度にあります。
| ASM | 脆弱性診断・ペネトレーションテスト | |
|---|---|---|
| 対象範囲 | 把握漏れ(シャドーIT)を含む、インターネットからアクセス可能なすべての資産 | 事前に定義・指定された、把握済みのWebアプリケーションやネットワーク機器 |
| 実施頻度 | ツールを用いて継続的・日常的(リアルタイムから週次など)に常時監視する | リリース前や定期検査など、特定のタイミング(年1回〜数回程度)で実施する |
脆弱性診断は「点」の対策であり、指定したシステムに疑似的な攻撃を仕掛けて詳細に検証します。一方、ASMは「面」の対策であり、組織全体の資産を全て洗い出し、広く浅く、常に監視し続けます。ASMで自社の全体像と未知の資産を把握し、重要なシステムには脆弱性診断を行うのが効果的です。
ASMを導入すると以下のようなメリットが期待できます。
クラウドサービスの利用拡大により、IT部門が認知していない「シャドーIT」が増加しています。ASMを導入すれば、これらの未知の資産や意図しない公開設定を自動で検知できます。
定期的な診断だけでなく、ASMによる継続的な監視は組織のガバナンス強化に直結します。常に最新のセキュリティ状態を把握することで、社内の意識向上にも寄与します。
強力なASMですが、ツールを導入するだけで全てが解決するわけではありません。ASMには以下のような注意点もあります。
こうした点を踏まえ、ツール選定だけでなく運用体制まで含めて自社の基準を満たすプロセスを構築することが重要です。自社のリソースだけで運用が難しい場合は、サポート付きのサービスを選ぶと安心です。