企業・団体における情報セキュリティ対策やIT資産管理、サイバー攻撃に関する情報などITに関わるさまざまな情報を随時掲載しています。

Sky株式会社

SKYSEA Client View
情報セキュリティ対策
公開日2025.03.06

第23回ASMとは?攻撃者視点で見直す
IT資産の見える化とリスク管理

著者:Sky株式会社

ASMとは?攻撃者視点で見直す<br> IT資産の見える化とリスク管理

他社のシステムに侵入する『ペネトレーションテスト』を業務とする筆者が、攻撃者の目線でセキュリティ対策について考えます。

上野 宣

株式会社トライコーダ 代表取締役

上野 宣

奈良先端科学技術大学院大学で情報セキュリティを専攻。2006年に株式会社トライコーダを設立。ハッキング技術を駆使して企業などに侵入を行うペネトレーションテストや各種サイバーセキュリティ実践トレーニングなどを提供。

攻撃者の初動

攻撃者が目的の企業に侵入する際、まず行うことは何でしょうか。それは外部(インターネット)からアクセス可能なシステムやサーバーなどを探し、脆弱性やセキュリティの問題を調査し、見つけ出すことです。

攻撃者の調査によって、管理不備のあるシステムが発見されるリスクを減らすために「ASM(Attack Surface Management)」というソリューションが登場しています。経済産業省も『ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~』という文書を公開し、ASMの重要性を訴えています。

IT資産管理の課題

現在の企業や組織では、DX推進やクラウド利用の拡大によって、IT資産が増加していく傾向にあります。さらに、アマゾン ウェブ サービス(AWS)やMicrosoft Azureなどのクラウドサービスを利用すると、サーバーなども簡単に起動できるため、IT資産が変化する頻度が高まっています。さらに子会社や海外支社が多数あるような企業だと、その管理が容易でないことは想像に難くないでしょう。

IT資産管理の課題は以下のとおりです。

  • 変化する頻度が高く、従来どおりの管理(ルールベースでの管理)には限界がある
  • 把握や管理が行いきれず、管理の抜け漏れが発生する

その結果、意図しないサーバーが放置されていたり、管理されていないIT資産が増加してしまうリスクが高まります。これらのIT資産が攻撃者の目に留まれば、企業のセキュリティにとって大きな脅威となるでしょう。

この課題の解決策の一つがASMです。ASMは「攻撃対象領域管理」と呼ばれるもので、「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義されています。つまり、攻撃対象となり得る資産(Attack Surface:アタックサーフェス)を管理することを指します。

ASMのプロセス

一般的なASMは、以下のプロセスで構成されます。

アタックサーフェスの検出(発見)
・ すべてのIT資産(オンプレミス、クラウド、モバイルデバイス、IoTなど)を把握し、外部からアクセス可能な資産(IPアドレス、ドメインなど)の検出や特定を行う

継続的な情報収集とリスク評価
・ 発見したIT資産の情報(ポートやソフトウェア、バージョン情報など)と脆弱性の検出・評価を継続的に行う

リスクへの対応(IT資産および対策状況の管理)
・ IT資産を一元的に管理できるように整理し、その対策状況も管理できるようにする

これらのプロセスによって、常にリスクの発見と対処を繰り返していくことで、攻撃を受ける可能性を最小化します。

ASMツール / サービスの選び方

IT資産の増減が少なく、脆弱性対応の状況なども把握できているのであれば、従来の資産台帳などによる管理手法で十分です。しかし、従来の手法でIT資産の網羅的な把握や脆弱性診断を継続することは、コスト的に困難な場合もあります。

昨今、ASMツールやサービスをうたう製品が多数登場していますが、各社のASMツールは機能や特性が多岐にわたるため、すべてのツールが皆さまの組織の課題を解決してくれるとは限りません。

まずは 図1 の視点で、現在の課題を把握する必要があります。

図1 組織の課題

既知のIT資産管理
・ 企業構造により、IT資産の一元管理が難しい
・ IT資産の数が多く、台帳管理が難しい
・ 管理者が不在で現状不明なIT資産が存在する

未知のIT資産管理
・ IT資産を各部門が独自に取得していて管理できていない
・ 私的に契約したIT資産が混在していて管理できていない

平時の脆弱性管理・対応
・ IT資産の数が多く、脆弱性診断が行き届いていない

有事の脆弱性管理・対応
・ 攻撃に悪用された脆弱性があっても、横断的な調査には時間がかかる

対外的コミュニケーション
・ 適切なセキュリティ施策が実施されているか、エビデンスを基に回答できない

次に、 図2 のようなASMに求められる機能の中から皆さまの組織に必要な機能を要件として挙げましょう。その上で、それに合致するASMツールやサービスを選択するようにしましょう。

図2 ASMに求められる機能

IT資産の発見機能
・ 組織名や既知のドメイン名などからドメインやIPアドレスを発見

IT資産の付加情報収集機能
・ アクセス可能なポート、ソフトウェア、ライブラリ、バージョン情報の検出
・ 付加情報の収集と履歴の管理
・ 脆弱性の確認や修正方法の提示

IT資産のリスク評価機能
・ CVSSなどによるリスク表示

運用管理機能
・ 誤検知などの対応
・ IT資産の除外
・ 検出結果の対応ステータス管理

本記事で紹介したASMツールやサービスの選び方は一例です。ASMの導入を検討する場合、日本ネットワークセキュリティ協会(JNSA)の一部であるISOG-J(Information Security Operation providers Group Japan)のワーキンググループ1(WG1)が公開している『ASM導入検討を進めるためのガイダンス(基礎編)』などを参考にしてください。

(「SKYSEA Client View NEWS Vol.100」 2025年1月掲載)