ASM(アタックサーフェスマネジメント)とは?
攻撃対象領域管理で実現する新時代のセキュリティ
【目次】
自社のWebサイトやサーバー、クラウドサービスなど、“インターネットからアクセスできる自社のIT資産”を、すべて正確に把握できていますか?
もし、この問いに少しでも不安を感じたなら、ぜひこの先を読み進めてください。
ビジネスのDX化が加速し、クラウドサービスの利用やリモートワークが当たり前になった今、企業のIT環境はかつてないほど複雑化しています。便利な環境の裏側で、情報システム部門が把握していないシャドーIT(※1)や、役目を終えたまま忘れ去られたテスト用サーバーが、知らぬ間に攻撃者の侵入口となっているかもしれません。
それは、家の玄関や窓をしっかり施錠していても、存在すら忘れていた小さな勝手口が開きっぱなしになっているようなもの。従来のセキュリティ対策が「家の中」を守るものだとすれば、これからは「家の外に、どんな侵入可能な隙がどれだけ存在するのか」を継続的に把握することが求められます。
本記事では、「ASM(アタックサーフェスマネジメント)とは何か」という基本から、具体的な実践方法までを初めての方にも分かりやすく解説します。
※1:情報システム部門が把握・管理していないまま、現場が業務利用しているITツールやクラウドサービス。
ASM(アタックサーフェスマネジメント)とは?なぜ今、注目されるのか
ASM(アタックサーフェスマネジメント)とは、その名のとおり「攻撃対象領域(アタックサーフェス)」を「管理(マネジメント)」する取り組みを指します。具体的には、「サイバー攻撃者の視点から、自社の組織がどこを攻撃されうるのか」を特定し、リスクを継続的に評価・管理していく一連のプロセスです。
ここでいう「攻撃対象領域」とは、インターネットに接続されているサーバーやネットワーク機器、Webサイト、ドメイン、クラウドストレージなど、外部からアクセス可能なあらゆるIT資産が含まれます。さらに、関連会社や業務委託先が管理しているシステムも、インターネット上に公開されている場合があります。
企業がどれだけ内部のセキュリティを固めても、外部と接続している領域に弱点が残ってしまうケースは少なくありません。
従来のセキュリティ対策は、ファイアウォールやウイルス対策ソフトのように、組織の「内側」を守ることに重点が置かれていました。これは、いわば堅牢な城壁を築いて内部の安全を確保するアプローチです。
しかし、ビジネス環境の変化によって、守るべき領域は社内ネットワークだけに留まらなくなりました。クラウド上に重要なデータを保管し、子会社や業務委託先とシステムを連携させるのが当たり前になった今、城壁の外にも無数の拠点ができている状態です。
ASMは、この複雑に広がった拠点全体を、「上空から俯瞰して、城壁のひび割れや、警備が手薄な通用口がないかを見つける」アプローチです。自分たちが把握していない資産や、思わぬ脆弱性を攻撃者より先に見つけ、先手を打つ。この「攻撃者目線」でのリスク管理こそが、ASMの最大の特徴であり、いま多くの企業から注目されている理由です。
「ウチは大丈夫」が危ない!ASMを導入しない企業が陥る落とし穴
多くの企業が「定期的に脆弱性診断を実施しているので安心だ」と考えがちです。しかし、診断の対象外にある領域や、想定していない“管理外の資産”にリスクが潜む場合があります。
こうした「把握しきれていない領域」に気づくためには、診断や台帳管理だけでは限界があります。そこで必要になるのが、自社の外部公開資産を“攻撃者の視点で”棚卸しするアプローチです。
ASMがない状態では、どのような危険に気づけないのか。具体的なケースをいくつか見てみましょう。
ケース1:忘れ去られたキャンペーンサイト
ある日、情報システム部のAさんの元に、見慣れないサーバーから不審な通信が検知されたというアラートが届きました。調査を進めると、そのサーバーは数年前にマーケティング部が外部の制作会社と立ち上げたキャンペーンサイトのサーバーでした。キャンペーン終了後、誰からも管理されることなく放置され、OSやミドルウェアは古いまま。その脆弱性を突かれ、サイバー攻撃の踏み台にされていたのです。
ケース2:海外子会社の管理サーバー
グローバルに事業を展開するB社。ある時、本社システムに不正アクセスの形跡が見つかりました。侵入経路を追跡した結果、攻撃者が利用していたのは、数年前に買収した海外子会社の管理サーバー。買収後にセキュリティ基準を統一しておらず、甘いセキュリティ体制や運用が残っていたことが原因でした。本社のセキュリティがどれだけ強固でも、グループ全体のセキュリティレベルが統一されていなければ、最も弱い部分が狙われてしまいます。
ケース3:取引先へのサイバー攻撃の余波
C社は、顧客管理システムの開発を、信頼する取引先D社に委託していました。ところがある日、D社がランサムウェアに感染したとの連絡が入ります。幸いC社のシステムへの直接的な被害は免れましたが、調査の過程で、開発用にD社へ渡していた顧客情報の一部が漏えいした可能性が発覚。自社が直接攻撃を受けたわけではなくても、サプライチェーンを構成する一社のセキュリティインシデントが、自社の信頼を揺るがす事態に発展してしまったのです。
これらのケースに共通するのは、「自分たちが直接管理している範囲の外」で発生しているリスクという点です。ASMを導入していないと、こうした管理外・認識外の領域がブラックボックスとなり、いつの間にか深刻なリスクの温床となる懸念があります。
攻撃者の視点を持つ!ASMを実践するための3つのステップ
では、どうすれば自社の「攻撃対象領域」を適切に把握・管理できるのでしょうか。ASMの実践は、大きく分けて3つのステップで進められます。
ステップ1:発見 (Discover)
まず取り組むべきは、攻撃者の視点で、「攻撃可能」と映る自社のIT資産を網羅的に洗い出すことです。これは、単に管理台帳を確認するだけでは不十分で、実際には次のような資産を洗い出します。
- 自社の所有するドメインやIPアドレス
- 過去に取得したまま忘れられているドメイン
- テスト目的で社員が作成したクラウドインスタンス
- 関連会社・海外拠点のWebサイトやサーバー
攻撃者と同様に、インターネット上で公開されている情報を徹底的に調査し、資産リストを構築することが重要です。
ステップ2:評価 (Assess)
次に行うのは、発見したIT資産のリスク評価です。具体的には、外部から観測できる情報をもとに次のような技術的観点でアセスメントを行います。
- 洗い出したサーバーやWebサイトに、既知の脆弱性はないか
- 不要なポートが開いていないか
- 古いソフトウェアが使われていないか
さらに、サプライチェーンを構成する取引先や委託先についても同様に、外部から観測できる情報(セキュリティ評価、過去のインシデント情報など)を基に、その企業のセキュリティ体制を評価します。これにより、リスクの高い資産やサプライチェーンの脆弱性が可視化されます。
ステップ3:対策 (Remediate)
最後は、評価結果に基づいて具体的な対策を講じるステップです。評価によって明らかになったリスクの高い脆弱性から、優先順位をつけて対処していきます。 例えば、
- 外部に公開する必要のないポートを閉じる
- 脆弱なバージョンのソフトウェアをアップデートする
- リスクスコアが著しく低い取引先や委託先とのシステム間の接続などを見直す
といったアクションが考えられます。
重要なのは、このサイクルを一度きりで終わらせず、継続的に回していくことです。IT資産は日々変化するため、定期的な監視と評価が欠かせません。
しかし、発見・評価・対策のすべてを手動で行うのは現実的ではありません。インターネット上のIT資産は常に増減しており、子会社や委託先、取引先まで含めると対象は膨大になります。さらに、日々公開される脆弱性情報も継続的に追跡しなければならないためです。
そのため、ASMを実践するには、専門的なツールや自動化の仕組みが不可欠です。
まとめ「ASMで実現する継続的なセキュリティ強化」
本記事では、ASMの基本から実践方法までを紐解いてきました。
これまで見てきたように、ASMとはいわば「攻撃者の視点」を取り入れ、自社の死角を先回りして見つけ出すアプローチです。DXの加速によって守るべき範囲が広がり続ける今、この考え方はもはや「あれば望ましいもの」ではなく、ビジネスを守るための「不可欠な土台」となっています。
管理の網の目をすり抜けた資産や、サプライチェーンに潜む脆弱性。これらが引き起こすリスクの深刻さと、それを封じ込めるための「発見・評価・対策」という3ステップの重要性についても、具体的にイメージいただけたのではないでしょうか。
今日のサイバー攻撃は、もはや私たちが想定している「正面玄関」からだけ侵入してくるとは限りません。むしろ、企業が存在すら忘れていた「勝手口・通用口」や、あるいは信頼していた「委託先・取引先」を足がかりに侵入してくるケースが増えています。
そして、この複雑に広がった攻撃対象領域を、人手だけで継続的に管理していくのは非常に困難です。
電通総研が提供するセキュリティソリューション「SecurityScorecard(セキュリティスコアカード)」は、まさにこのASMを実現するためのプラットフォームです。
独自の技術でインターネット上から情報を収集し、自社だけでなく、サプライチェーンを構成する取引先や子会社の攻撃対象領域までも自動的に発見・評価します。発見されたリスクは「A~F」の分かりやすいスコアで可視化されます。どこに重大な問題が潜んでいるのか、どこから対策を始めるべきかを一目で把握できます。ASMの専門的な知識がなくても、継続的かつ効率的なリスク管理体制の構築を支援します。
自社の攻撃対象領域を客観的に把握したい方は、ぜひ詳細をご覧ください。
■もっと詳しく知りたい方はこちら
