アタックサーフェス管理（ASM）とは？

アタックサーフェス管理（Attack Surface Management：ASM）

「アタックサーフェス管理(ASM)」をご存じでしょうか？

一言で説明しますとインターネットからアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性を継続的に評価する取り組みのことです。2023年5月に経済産業省がガイドラインを公開して以降、検討を進める企業が増えてきています。

背景として、昨今のDX推進やテレワーク拡大におけるリモート化が進むにつれ、サイバー攻撃の起点が増加していることで、IT部門で把握していないシステムが企業グループ内で増えてきていることが一例として挙げられます。

ASMは攻撃者視点で外部公開している資産を調査する仕組みで、 未把握のIT資産や、設定ミスなどにより外部からアクセス可能な状態となっているシステムの発見をすることができるため、グループ企業や海外拠点のIT資産を見える化し、ガバナンス強化に活用するユースケースも出てきています。

アタックサーフェス管理と脆弱性診断の関係

アタックサーフェス管理のご検討を進める中で、脆弱性診断との違いは、というご質問をいただくことがあります。

■脆弱性診断：把握済みの資産に対して脆弱性の有無や特定を行うもの

■ASM：未把握の資産も含め、網羅的にインターネットに公開している資産を発見し、外部から把握出来る範囲で脆弱性の有無や特定を行うもの

脆弱性診断は高い確度で脆弱性の有無や特定が出来る反面、未把握の資産は対象外となるため、ガイダンスの中でも「目的に応じて、使い分けや併用を検討すべき」と記載されています。グループ全体の脆弱性管理を進める上で、ASMは未把握資産の特定という重要なプロセスを担ってくるのです。

スポット調査 or 継続的な監視？

ASMを検討する中で、スポット調査で良いのでは、というご意見をお聞きすることもあります。

企業の外部公開資産は日々変化しており、IT部門の気づかないところで新規の資産が増え続けています。特に海外拠点やグループ会社はガバナンスを効かせにくいため、資産情報を特定出来ないという課題をお持ちの企業もあると思います。

経産省発行のASM導入ガイダンスでは「インターネットからアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と 記載されており、ASMの継続的な実施により、未把握の資産や意図しない設定ミスを攻撃者視点から発見でき、グループ全体のリスク低減の効果が期待されるのです。

経済産業省 ASM (Attack Surface Management）導⼊ガイダンス
https://www.meti.go.jp/press/2023/05/20230529001/20230529001-a.pdf

ASMに関してのご相談がございましたらお気軽にお問い合わせください。