近年、企業のIT環境はクラウドサービスの利用拡大やテレワークの普及により複雑化しています。それに伴い、サイバー攻撃の「入り口」も多様化し、セキュリティ対策の難易度が上がっています。
そんな時代に、経済産業省が導入ガイダンスを公開し、いま注目を集めているセキュリティ強化の取り組みが「アタックサーフェスマネジメント(Attack Surface Management、ASM)」です。
🧐 アタックサーフェスマネジメント(ASM)って何?
ASMを一言でいうと、「攻撃者の視点から、外部(インターネット)からアクセス可能な自社のIT資産を網羅的に把握し、それらのリスクを継続的に管理するプロセス」です。
🛡️ 「アタックサーフェス(攻撃対象領域)」とは?
「アタックサーフェス」とは、文字通りサイバー攻撃者が侵入や攻撃を仕掛ける可能性のあるIT資産やシステム全体の領域を指します。
自社が管理しているサーバー、VPN機器、ウェブサイト、クラウドサービスはもちろんのこと、情報システム部門が把握しきれていない「シャドーIT」(非公式に利用されているIT資産)なども含まれます。リモートワークやM&Aなどで企業のIT資産が増えるほど、この「攻撃対象領域」はどんどん拡大していきます。
ASMは、この拡大しがちな攻撃対象領域を常に監視し、脆弱性や設定ミスがないかをチェックすることで、攻撃者に狙われる隙を減らしていくことを目的にしています。
💡 従来の脆弱性診断とはどう違うの?
ASMは、これまで行われてきた「脆弱性診断」とは異なるアプローチを持っています。
最も大きな違いは、ASMが「自社が把握できていないIT資産」、つまりシャドーITまでをも攻撃者視点で自動的に発見し、管理の対象にできる点です。
⚙️ ASMの主要な4つのプロセス
経済産業省のガイダンスでも示されている通り、ASMは以下の4つのステップを継続的に回すことで効果を発揮します。
-
攻撃面の発見(Discovery)
-
攻撃面の情報収集(Inventory)
-
発見したIT資産のOS、ソフトウェア、バージョン、開いているポートなどの詳細な情報を収集し、インベントリ(台帳)化します。
-
-
攻撃面のリスク評価(Prioritization)
-
収集した情報を基に、既知の脆弱性情報や設定ミスなどと照らし合わせ、各資産が抱えるセキュリティリスクを評価し、緊急性や影響度に応じた優先順位をつけます。
-
-
リスクへの対応(Remediation)
-
評価結果に基づき、脆弱性の修正(パッチ適用)、不要な公開ポートの閉鎖、設定の適正化など、優先度の高いものから対策を実施します。
-
🔑 ASM導入のメリット
ASMを導入し、継続的に運用することで、企業は以下のようなメリットを得られます。
-
シャドーITを含むリスクの可視化: 管理外のIT資産まで把握できるため、セキュリティの盲点をなくせます。
-
緊急性の高いリスクへの迅速な対応: 新たな脆弱性情報が公開された際、自社のIT資産に該当するかをすぐに確認し、優先度の高いものから迅速に対処できます。
-
サプライチェーン全体のセキュリティガバナンス強化: グループ企業や海外拠点の外部公開資産のリスク評価にも活用でき、サプライチェーン攻撃のリスク低減に繋がります。
現代の複雑で変化の激しいIT環境において、ASMは「攻撃者に狙わせないための継続的な自己点検」として、企業のセキュリティ戦略の土台を支える重要な取り組みとなっています。
