IT資産の管理とセキュリティ強化　～ASM～

昨今、組織の様々なIT資産（IoT機器、Webアプリ、クラウドストレージなど）が組織の外部に公開されています。
その結果、それらのIT資産はインターネット経由で常に攻撃者からの脅威にさらされている状況となります。
そのため、そういった資産を発見し管理する事は非常に重要なリスク対策となります。

ASM（Attack Surface Management）

ASM（アタック・サーフェス・マネジメント）は外部公開されているIT資産を発⾒し、それらの面（サーフェス）存在するリスクを継続的に検出し、分析や評価を行う⼀連のプロセスとなります。

外部公開領域にある攻撃面（攻撃対象領域）

１．検出

組織で管理しているIT資産のIPアドレスやドメイン情報などを主なインプットとして、外部公開している面を発見します。また、この過程で、未管理の資産（シャドーIT）が発見されることもあるため、それらも管理資産に含めて資産の可視化を進めます。

２．情報収集

主にIT資産のプラットフォーム情報（OSやソフトウェアバージョンなど）やネットーワーク情報（オープンポートなど）を収集します。基本的には公開されているIT資産に対して、通常アクセス出来る範囲で調査を行います。
また、ダークウェブ（悪意のある情報サイトなど）に、収集したIT資産の情報が掲載されていないかなどの脅威インテリジェンスを行う場合もあります。

３．リスク評価

収集した情報から、IT資産に既知の脆弱性が無いか、不必要に公開されていないかなどリスク度合いを評価します。

リスク評価の後

評価結果に応じてリスク対応を行いますが、そのプロセスは一般的にはASMの対応範囲に含まれません。組織の脆弱性管理といったライフサイクルで行っていきます。（脆弱性管理については今回は割愛します）

似たような情報の収集方式

ASMと同じように組織のリスクに対しての情報を収集方式に以下の二つがあります。

OSINT（Open Source Intelligence）

OSINT（オシント）は諜報活動のようなものです。あらゆる公開されている（企業のIR情報、SNS、サーチエンジン、広くは論文などの）情報から、組織のリスクを収集、分析する手法となります。
OSINTをIT資産メインで行ったものが、ASMの検出、情報収集プロセスとなるため、広い意味でASMはOSINTの一部とも取れます。

TI（Threat Intelligence）

TI（脅威インテリジェンス）は主にサイバー攻撃の手法や脆弱性情報などを収集して組織のセキュリティ対策を向上させる手法となります。ASMが攻撃される面に注目しているのに対して、TIはどのような攻撃手法がとられるのかに注目した情報収集となります。リスクに対して評価し対策を立てる上ではそういった情報が必要となるため、ASMとセットで考える必要があります。

最後に

公開したIT資産は早ければ数分で攻撃対象となります。ASMのようなサービスを利用して、組織のIT資産を管理してセキュリティリスクの軽減を検討してはいかがでしょうか。

～以下宣伝です～

当社ではASMに加えてTI（脅威インテリジェンス）もセットでサポートするサービスを提供しています。
興味がありましたら、ぜひこちらからお問い合わせいただければ幸いです。