ASMセキュリティとは
ASMとは「Attack Surface Management」の略で、日本語では外部攻撃対象領域管理と呼ばれます。企業のITシステムのうち、インターネットからアクセス可能な領域を把握し、そこに潜むリスクを継続的に監視・管理するセキュリティ管理の考え方です。
近年はクラウドサービスの利用拡大などにより公開IT資産が増えているため、企業のセキュリティ対策として重要視されています。
ASMの基本概念
ASMは、企業が保有するインターネット公開資産を外部視点から発見し、攻撃対象となるIT資産を整理・管理するセキュリティ手法です。具体的には、ドメインや公開サーバ、クラウドサービスなどの資産を自動的に探索し、企業の攻撃対象領域を可視化します。
従来のセキュリティ対策は社内ネットワーク防御が中心でした。しかし、現在はクラウド利用や外部サービス連携が増え、企業のIT資産は社外にも広がっています。ASMは攻撃者と同じ視点で公開資産を探索し、管理されていないIT資産や脆弱性の存在を把握することで、サイバー攻撃のリスク管理を支援します。
ASMが注目される背景
ASMが注目される理由の一つは、企業IT環境の複雑化です。クラウドサービスの利用拡大やDX推進により、企業のIT資産は急速に増えています。このような環境では、情報システム部門がすべてのIT資産を把握することが難しくなるでしょう。その結果、管理対象外のIT資産が生まれやすくなります。
こうした管理外資産はシャドーITと呼ばれ、セキュリティ管理の対象から外れる可能性があります。管理されていないIT資産は設定不備や脆弱性が放置されやすく、サイバー攻撃のリスクにつながるおそれがあります。ASMは外部視点からIT資産を探索するため、こうした管理外資産の把握にも役立つでしょう。
ASMとサイバー攻撃の関係
サイバー攻撃の多くは、インターネット公開サーバやWebサービスの脆弱性を入口として侵入します。企業が把握していないサーバや古いシステムが残っている場合、攻撃者にとって格好の標的になる可能性があります。そのため、公開資産の管理は重要なセキュリティ対策の一つといえるでしょう。
ASMは公開資産を継続的に探索し、攻撃者が発見できるIT資産を可視化します。これにより、企業は攻撃の入口となるリスクを把握しやすくなります。また、情報資産管理は「ISO/IEC 27001」などのセキュリティ管理規格でも重要な管理項目として定義されており、ASMはこうした管理を支援する技術といえます。
ASMセキュリティの攻撃対象領域
ASMでは、企業のインターネット公開資産を中心に攻撃対象領域を管理します。具体的には、公開サーバやドメイン、クラウドサービスなどが対象です。ここでは、ASMが管理する代表的な領域を解説します。
公開IT資産の可視化
ASMの基本機能は公開IT資産の可視化です。企業が利用しているドメインやWebサーバ、クラウドサービスなどを外部視点で発見します。IT資産は部署ごとに導入される場合もあり、情報システム部門がすべてを把握できていないケースもあるでしょう。
ASMツールはインターネット上の情報を収集し、企業に関連するIT資産を自動的に整理します。可視化された資産はリストとして管理できるため、企業は自社の攻撃対象領域を体系的に把握できるようになります。
シャドーITの検知
シャドーITとは、企業のIT管理部門が把握していないITサービスのことです。部署単位で契約したクラウドサービスや個人が登録した外部ツールなどが該当します。
シャドーITはセキュリティ設定が不十分な場合もあり、情報漏えいなどのリスクにつながりかねません。ASMはドメイン情報や公開資産を分析し、企業に関連する未知のITサービスを検知します。これにより、管理対象外のIT資産を早期に発見できます。
脆弱性リスクの可視化
ASMでは公開資産の脆弱性も分析します。古いソフトウェアや設定不備のあるサーバは攻撃の対象になる可能性があります。ASMツールは公開サービスの設定やソフトウェア情報を分析し、既知の脆弱性データと照合します。
これにより、どのIT資産にリスクが存在するのかを把握可能です。セキュリティ担当者はリスクの優先度を整理し、パッチ適用や設定変更などの対策を実施できます。
ASMセキュリティの主な機能
ASMツールには、IT資産の探索や監視、リスク分析などの機能があります。これらの機能により、企業は攻撃対象領域を継続的に管理できます。
インターネット資産の自動探索
ASMツールはインターネット上の情報を収集し、企業に関連するIT資産を自動的に探索します。ドメイン情報やDNS情報、クラウド環境、公開サーバなどを調査し、企業のIT資産を洗い出します。
探索は定期的に実行されるため、新しく公開された資産も把握できます。IT資産の把握はセキュリティ対策の基本であり、ASMの重要な機能の一つです。
攻撃対象領域の継続監視
ASMは公開資産の状態を継続的に監視します。新しいサーバ公開や設定変更など、攻撃対象領域の変化を検知します。
企業はIT資産の変化を早期に把握できるため、リスクのある状態を放置する期間の短縮が可能です。継続的な監視はセキュリティ運用の効率化にもつながります。
脆弱性リスクの分析
ASMツールは公開資産の脆弱性情報を分析し、リスクの高い項目を提示します。脆弱性データベースと照合することで既知の脆弱性を検知します。セキュリティ担当者は提示された情報をもとに、修正パッチ適用や設定変更などの対策を行えます。
セキュリティ運用支援
ASMツールはセキュリティ運用の管理にも役立ちます。IT資産管理やリスク評価、対策状況の管理などを一元的に行えます。また、他のセキュリティシステムと連携することで、監視やインシデント対応の効率化が期待できます。
ASMセキュリティ導入のメリット
ASMを導入すると、企業の攻撃対象領域を可視化できるようになります。セキュリティリスクの早期発見や運用効率化などのメリットがあります。
攻撃対象領域の全体把握
ASMを導入すると、企業の公開IT資産を一覧で確認できます。IT資産はクラウド環境や外部サービス利用により増え続けるため、すべてを把握するのは簡単ではありません。
ASMツールはこうした資産を自動探索し、企業の攻撃対象領域を整理します。攻撃対象領域を把握することは、セキュリティ対策の基本といえるでしょう。
セキュリティリスクの早期発見
ASMは、脆弱性や設定不備を早期に検知する仕組みです。公開サーバの設定ミスや古いソフトウェアなどは、攻撃の入口になる可能性があります。
こうしたリスクを放置してしまうと、被害につながるおそれがあります。継続的な監視によりリスクを早い段階で把握できるため、被害拡大の防止にも役立つでしょう。
セキュリティ運用の効率化
ASMはIT資産管理の自動化により、セキュリティ運用の負担を軽減します。資産探索や脆弱性分析、リスク管理などをツールで実施できるため、担当者がすべて手作業で管理する必要はありません。セキュリティ担当者は対策判断に集中できるようになり、限られた人員でも継続的なセキュリティ管理が行えるでしょう。
以下の記事ではASMツールの価格や機能、サポート体制などを、具体的に比較して紹介しています。ぜひ参考にしてみてください。
ASMセキュリティが必要とされる企業
ASMはすべての企業に関係する技術ですが、特にIT環境が複雑な企業では重要性が高まります。ここでは、導入検討が進んでいる企業の特徴を解説します。
クラウド利用企業
クラウドサービスを多く利用する企業では公開IT資産が増えやすくなります。複数のクラウド環境を利用している場合、資産管理が複雑になるでしょう。ASMはクラウド環境を含めた公開資産を探索できるため、クラウド利用企業に適した仕組みです。
DX推進企業
DX推進により新しいITサービスを導入する企業ではIT資産の増加が避けられません。新しいサービス公開や外部連携が増えると、攻撃対象領域も拡大します。ASMはIT資産の変化を監視するため、DX環境でも安全な運用を支援します。
多拠点IT環境企業
多拠点でITシステムを利用する企業では、資産管理が分散する傾向があります。拠点ごとに導入されたシステムを本社が把握できていないケースもあるでしょう。ASMは外部視点で資産を探索するため、拠点ごとのIT資産も含めて管理できます。
ASMセキュリティ導入のポイント
ASMを導入する際には、監視範囲や運用体制の整理が重要です。実務担当者が検討すべきポイントを解説します。
監視対象範囲の整理
ASM導入時には、監視対象となるIT資産の範囲を整理する必要があります。ドメインやクラウド環境、公開サーバなど、どの資産を監視対象とするかを明確にしましょう。グループ会社や関連企業の資産を含めるかどうかも、事前に整理しておくと運用がスムーズになります。
既存セキュリティとの連携
ASMは単独で運用するよりも、既存セキュリティ対策と連携することで効果が高まります。脆弱性管理ツールやセキュリティ監視システムと連携すると、リスク対応を効率化できます。企業のセキュリティ運用プロセスに組み込むことが導入成功のポイントです。
継続運用体制の整備
ASMは継続的な運用によって効果を発揮します。運用担当者の役割を明確にし、定期的な確認や対策フローを整備する必要があります。
また「ISO/IEC 27001」や「SOC 2」などのセキュリティ基準では継続的なリスク管理が求められています。ASM運用もこうした管理プロセスの一部として位置付けるとよいでしょう。
参考:ISMS(情報セキュリティマネジメントシステム)とは|情報マネジメントシステム認定センター
参考:SOC 2® - SOC for Service Organizations: Trust Services Criteria|AICPA
参考:ASM導入ガイダンス|経済産業省
まとめ
ASMは企業の公開IT資産を可視化し、外部攻撃対象領域を管理するセキュリティ手法です。クラウド利用やDX推進により、企業のIT環境は複雑化しています。その結果、管理されていないIT資産がセキュリティリスクとなる可能性も高まっています。
ASMを導入することで、公開資産の把握や脆弱性リスクの可視化、継続的な監視が可能になります。自社のセキュリティ対策を強化するためにも、ASMツールを比較し、自社に適した製品の資料請求を検討してみてください。
