セキュリティ
ASMの導入効果は? 攻撃者視点から企業資産リスクを可視化する仕組み
DX推進が加速する一方で、従来の境界防御だけでは防ぎきれないサイバー攻撃が増加しています。対処するためには攻撃者と同じ視点で、自社の「見えていない弱点」を把握することが重要です。
そこで重要になるものが「ASM(攻撃対象領域管理)」です。この記事ではASMの基本から、導入による具体的なリスク低減効果について詳しくお伝えします。併せて、ASMの仕組みや運用のポイントについても触れていきます。
ASMとは
ASM(Attack Surface Management)とは、組織のIT資産を攻撃者と同じ視点で把握・管理する手法です。ここでは、その定義や必要性が高まっている背景、従来の手法との違いについて解説します。
ASMで扱う「攻撃対象領域」とは何か
ASMが管理対象とする「攻撃対象領域」とは、サーバーやクラウドサービス、ネットワーク機器など、インターネット経由で外部からアクセス可能なすべてのIT資産を指します。
これには組織が管理している正規の資産だけでなく、放置されたWebサイトや設定ミスのあるクラウド環境といった、組織が把握していない「外部から見える資産」も含まれます。つまり、攻撃者の侵入経路となり得るあらゆる接点が、管理すべき領域となるのです。
なぜ今ASMが必要と言われているのか
DX推進やクラウドシフト、リモートワークの普及により、守るべきネットワーク境界が曖昧になり、IT資産がインターネット上に分散している現状があります。
Excel台帳などを用いた手作業による管理では、頻繁に増減するクラウド資産や部門が独自に導入したSaaSなどの把握が追いつきません。さらに、VPN機器のぜい弱性や公開サーバーの設定ミスを狙う「ネットワーク貫通型攻撃」が増加しています。
このように、侵入の足がかりとなる資産を放置することは致命的なリスクとなり得るため、対策が急務とされているのです。
従来の境界防御やぜい弱性診断との違い
従来の境界防御が「内側を守る」ものであるのに対し、ASMは「外側からどう見えるか」を管理するというアプローチの違いがあります。
また、ぜい弱性診断が「把握している既知の資産」を深く調査するのに対し、ASMは「把握していない未知の資産」を含めて網羅的に探索・発見することに主眼を置いています。
実施頻度に関しても、ぜい弱性診断が年1回などの「定期的な点」での確認である一方、ASMは日々変化する資産状況を「継続的な線」でモニタリングする点が特長です。
ASMで見えてくる企業資産リスクと導入効果
ASMを導入することで、これまで把握できていなかった「未知の資産」や「潜在的なぜい弱性」が可視化され、実効性の高いリスク対策が可能になります。ここでは、ASMによって明らかになる具体的なリスクと、導入がもたらす変化、経営層・IT部門双方のメリットについて見ていきましょう。
外部公開資産やシャドーITが生むリスク
ASMを活用すると、例えば事業部門が無許可で立ち上げたキャンペーンサイトや、検証用に作成され放置されていたクラウドインスタンスなど、把握が難しい外部公開資産を発見できます。
これは、いわゆる「シャドーIT」に該当するものです。ASMによって、サポート切れのOSを使用しているサーバーや不要なポートが開いている機器といった、攻撃者に狙われやすい「隙」を特定できるようになります。
ASM導入で変わる日々のリスク把握
ASM導入後は、新しく公開された資産や意図せず変更された設定を即座に検知できるようになり、攻撃される前に先手を打てます。また、新たなぜい弱性が公表された際も、自社のどの資産が該当するかを即座に検索・特定できるため、調査時間を大幅に短縮可能です。
Excelの管理台帳などで管理していたときと異なり、手動更新によるタイムラグもなくなります。常に最新の資産インベントリを維持できることで、IT資産管理の精度が格段に向上します。
経営層とIT部門それぞれにとってのメリット
経営層にとっては、自社のセキュリティ姿勢が可視化されることで、取引先や株主に対して客観的なデータに基づいた説明が可能になります。また、リスクの優先度に応じた効率的な予算配分ができるようになります。
一方、IT部門にとっては、資産の棚卸しやぜい弱性情報の収集が自動化されるため、調査業務の負荷が軽減されるという点が大きなメリットでしょう。加えて「どこに何があるか分からない」という不安から解放され、確実な根拠を持って対策を推進できる点も重要です。
ASMの仕組みと導入・運用の進め方
ASMツールの基本的な機能から、スムーズな導入ステップ、運用を継続するための重要なポイントを解説します。
ASMツールの基本的な動きと主な機能
ASMツールの基本的な動きは、まずOSINT(オープンソースインテリジェンス)などの手法を用いてインターネット上の関連資産を自動探索するところから始まります。
次に、発見した資産のOSやアプリケーションのバージョン、ポート番号といった詳細情報を収集して目録化し、資産リストを作成します。この情報とぜい弱性データベースを照合して危険度を判定し、定期的なスキャンによって資産の増減や新たなぜい弱性の発生を継続的に監視する、という流れです。
自社環境に合わせたASM導入ステップ
導入の第一歩として、自社のみを対象とするか、グループ会社やサプライチェーンまで含めるかといった調査範囲を明確に定義することから始めましょう。
次に、検出精度や使い勝手を確認するためにPoC(概念実証)を実施し、最適なツールを選定します。ツールが決まったら初期スキャンを行い、発見された不要なテストサーバーなどを削除して攻撃対象領域自体を縮小していきます。
その後は、検知されたリスクへの対処フローなどの運用ルールを策定していくことで、効果的なASM導入・運用が実現できるでしょう。
継続的に生かすための運用と見直しのポイント
ASMの効果を持続させるためには、発見したリスクを既存のチケット管理システムやぜい弱性対応フローに組み込み、対処漏れを防ぐことが重要です。また、意図して公開している資産やリスク受容済みの資産をホワイトリスト化することで、アラートのノイズを減らすことも欠かせません。
そうすることで、本当に重要な通知に集中できる環境を整えます。さらに、月次などでリスクスコアの推移を定点観測し、対策の進捗や新たな脅威傾向を分析しましょう。
まとめ - ASMで攻撃者視点のリスク管理を進めましょう
ASM導入は単なるツール導入ではなく、攻撃者に対し先手を打つための「能動的な防御態勢」への転換です。外部公開資産やシャドーITなど、見えていない資産は守れません。
日立ソリューションズ・クリエイトでは、自社やグループ会社のセキュリティレベルを客観的に評価する手段として、「企業セキュリティレーティングサービス」を提供しています。ASMとあわせて活用することで、サプライチェーン全体のリスク可視化も実現できます。
まずはできるところから、攻撃者視点でのリスク管理を始めてみてはいかがでしょうか。
参考:経済産業省「ASM(Attack Surface Management)導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」