ASM（Attack Surface Management）とは

ASMの定義

ASMとは、Attack Surface Management（アタックサーフェスマネジメント）の略称です。経済産業省のガイダンスによると、ASMは以下のように定義されています。

『組織の外部（インターネット）からアクセス可能なIT資産を発見し、それらに存在する脆弱性等のリスクを継続的に検出・評価する一連のプロセス』

　

アタックサーフェスとは

ASMを理解する上で重要な概念が「アタックサーフェス」です。アタックサーフェスとは、日本語で「攻撃面」または「攻撃対象領域」を意味し、具体的には以下を指します。

• 外部（インターネット）に公開されているサーバ
• ネットワーク機器、IoT機器
• その他、外部からアクセス可能なすべての要素

つまり、サイバー攻撃者にとっての「入口」となり得るポイントすべてを総称してアタックサーフェスと呼びます。

【関連記事】

サイバー攻撃の主な種類と対策について詳しく解説しています。

ASMの必要性

1. ネットワーク貫通型攻撃への対策

昨今、ネットワーク貫通型攻撃が大きな脅威となっています。この攻撃は、ルータやVPN等、インターネットの境界に設置された装置の脆弱性を悪用し、組織のセキュリティを侵害するものです。特に、ランサムウェアの主要な感染経路となっていることが問題視されています。

2. 把握していないIT資産の増加

インターネットを活用したサービスや技術の普及により、組織として把握できていないWebサービスや機器、装置が増加しています。これらを網羅的に管理することは困難であり、結果として脆弱性やリスクの放置につながっています。

3. 継続的なリスク評価の必要性

攻撃者が侵入する隙となるポイントを把握するために、組織には平時から攻撃面（アタックサーフェス）に対するリスク評価を継続的に実施する必要があります。ASMは、この課題に対する効果的なアプローチの一つと言えるでしょう。

【関連記事】

脆弱性の意味やゼロデイ攻撃の概要、対策のポイント等を解説しています。

ASMの実施プロセス

ASMは一般的に、以下の四つのステップで実施されます。

1. 攻撃面の発見

まず、自組織が保有するIPアドレスやホスト名をリストアップします。これにより、外部（インターネット上）からアクセスできる組織のIT資産を特定します。

2. 攻撃面の情報収集

次に、特定したIT資産に関する詳細な情報を収集します。具体的には以下のような情報が含まれます。

• 使用されているOSの種類とバージョン
• インストールされているソフトウェアとそのバージョン
• オープンなポート番号
• その他の設定情報

3. 攻撃面のリスク評価

収集された情報を基に、リスク評価を行います。一般的には、以下の二つの観点から評価します。

• 自社へのインパクト（影響度）
• 脆弱性が悪用される可能性（発生確率）

これらの評価結果を基に、対策の優先度を決定します。

4. リスクへの対応

リスク評価の結果を基に、検出されたセキュリティリスクへの対応を行います。対応を決定する際は、以下の要素を考慮します。

• 想定される被害の大きさ
• 改善に要するコスト
• 組織のリソース状況

これらを総合的に判断し、パッチ適用を行うか、あるいは対策を見送るかを決定します。緊急性の高いリスクから順に、適切な防御策を講じていきます。

ASMと脆弱性診断の違い

ASMと似た概念として「脆弱性診断」がありますが、両者には重要な違いがあります。以下に主な違いをまとめます。

ASMと脆弱性診断の活用方法

ASMと脆弱性診断は、それぞれの特徴を理解した上で、適切に活用することが重要です。

• ASM
常に変化するサイバー攻撃に対抗するために、継続的なセキュリティ管理が求められる環境で特に有効です。

• 脆弱性診断
特定のイベントやアップデートの前後に重点的に実施することで、システムの安全性確保に役立ちます。

組織のニーズや状況に応じて、これらの手法を組み合わせて利用することで、より強固なセキュリティ対策を実現できます。

ASMの課題と対策

ASMを効果的に実施するには、いくつかの課題があります。ここでは主な課題と、その対策について説明します。

1. 煩雑さ

◆課題
ASMには、外部からアクセス可能なすべてのIT資産を調査する役割があります。手作業で行う場合、以下のような煩雑なプロセスが必要になります。

• 調査方法の検討
• 実際の調査
• 評価
• 管理

これらのプロセスすべてで人的リソースと大量のデータ処理を伴います。企業や組織の複雑性によっては、手作業での管理は事実上不可能な場合もあります。

◆対策
ASMツールやサービスを活用することで、これらのプロセスを自動化し、効率的に実施することができます。

2. セキュリティ人材の不足

◆課題
セキュリティに関する一定の技術や専門知識を持った人材を確保すること自体が難しいという点も大きな課題です。国内では情報システム部門の人材不足が顕著であり、特にセキュリティ人材の不足は深刻な問題となっています。

◆対策
• 外部のセキュリティサービスの活用
• 社内人材の育成プログラムの実施
• AIを活用したセキュリティツールの導入

3. 継続的な監視の難しさ

◆課題
ASMの有効性を保つためには、継続的な監視と、脅威が検出された際のアラート機能が必要です。これを手作業でこなすには多くの人材と工数が必要となり、情報システム部門の業務負荷を考慮すると現実的ではありません。

◆対策
ASMに特化したツールやサービスを活用することでも、24時間365日の継続的な監視や即時のアラート機能に対応することができます。

ASMツールの活用によるメリット

ASMツールを活用することで、以下のようなメリットが得られます。

1. 攻撃面の包括的な管理

ASMツールを使用することで、外部に公開されている組織のIT資産を網羅的に管理することができます。これには、情報システム部門が把握しているIT資産だけでなく、未把握のIT資産も含まれる可能性があります。

2. 継続的な監視の実現

ASMツールを導入することで、24時間365日のリアルタイム監視が可能になります。新たに発生した脆弱性や設定ミス等の危険な状態を即座に検出し、アラートを発することができます。

3. 効率的なリスク評価と優先順位付け

多くのASMツールには、検出された脆弱性の影響度や悪用される可能性を評価し、優先順位を付ける機能があります。これにより、限られたリソースを効果的に配分し、重要な脆弱性から対処することが可能になります。

4. コンプライアンスの強化

ASMツールを活用することで、客観的な指標を持って自社のセキュリティレベルを把握することができます。これは、法規制やコンプライアンス要件で求められる定期的なセキュリティ監査にも役立ちます。

まとめ

サイバーセキュリティの世界は日進月歩で進化しています。組織のIT環境やセキュリティ対策レベルはもちろん、サイバー攻撃者の手法も常に最新のテクノロジーを駆使して進化を続けていくでしょう。このような状況下において、ASM（Attack Surface Management）の重要性は今後さらに増していくと考えています。

サイバーセキュリティは、もはや一部の専門家だけの問題ではありません。組織全体で取り組むべき重要な経営課題として、ASMを含めた包括的なセキュリティ戦略を検討し、実施を進められるよう取り組んでいきましょう。