「Attack Surface Managementは導入した方がいい?」
「ASMを導入する際の課題は?」
デジタル化が進む現代のビジネス環境において、サイバー攻撃の件数が増加しています。サイバーセキュリティの重要性がますます高まる中で注目されているのが、ASM(Attack Surface Management)です。ASMでは、組織の外部からアクセス可能なIT資産を発見し、リスク評価を行います。リスク評価をもとに適切な対策を講じれば、サイバー攻撃の被害に遭うリスクを低減できるでしょう。
本記事では、ASMについて以下の内容を解説します。
- ASMの概要
- ASMが必要とされる背景
- 特にASMが必要な領域
- ASMの課題と解決策
本記事を読むことで、ASMの重要性や特に対策を強化すべき領域がわかるでしょう。従来のASMが抱える課題を解消する、生成AI活用の最新アプローチも紹介するので、ASM導入を検討する企業の方はぜひご一読ください。
ASMの導入をご検討中の方、必見!
Attack Surface Managementは導入した方がいい?
ASMは、未把握のものを含んだIT資産を適切に管理するために有効なプロセスで、DX化が進む現代社会では特にデジタルサービス領域での必要性が高まっています。ASMの運用においては、情報精査にかかる時間や専門人材の不足などが課題となることが多いですが、それらを解決する方法がありますので、ぜひこちらの資料をご覧ください。
ASM(Attack Surface Management)とは
経済産業省のASM導入ガイダンスでは、ASM(Attack Surface Management)を以下のように定義しています。
| 組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス |
膨大なIT資産を人の手で管理するのは困難ですが、ASMツールを利用すればインターネットから把握できる情報を収集・データベース化するため、管理が容易になります。組織が把握していない機器や設定ミスを攻撃者の視点から発見することも可能で、適切に対処すれば脆弱性による攻撃リスクを低減させられます。
ASMが必要とされる背景
DX(デジタルトランスフォーメーション)の進展に伴い、クラウド利用の拡大やリモートワークの普及が急速に進んでいます。一方で、インターネットを通じたデジタルサービス領域のやり取りが増えたことに伴い、サイバー攻撃も増加しています。
攻撃の足がかりとなっているのは、適切なアップデートが行われていないPCや、脆弱性のあるWebシステムなどのIT資産です。攻撃者は脆弱なポイントを探し出し、ランサムウェアへの感染や不正アクセスによる情報窃取などの攻撃を試みています。
サイバー攻撃から身を守るには、自社のIT資産を適切に管理し、リスクを洗い出すことが重要です。そこで注目されているのが、IT資産の発見やリスク評価に役立つASMです。
経済産業省もASMの重要性を唱えており、2023年5月29日には「ASM (Attack Surface Management)導入ガイダンス」を公表しました。企業がASMを導入・活用し、セキュリティを強化してもらうことがガイダンスの目的です。
IT環境は複雑化しており、従来の管理方法ではリスクを把握しきれなくなっています。サイバー攻撃のリスクを低減させるには、ASMの導入が不可欠と言えるでしょう。
ASMのプロセス
ASMは、主に「攻撃⾯の発⾒」「攻撃⾯の情報収集」「攻撃⾯のリスク評価」「リスクへの対応」の4つのプロセスで構成されます。
①攻撃⾯の発⾒
ASMにおける最初のプロセスは、インターネットからアクセス可能なIT資産(攻撃面)の発見です。組織名をもとに、Webサイトやハードウェア、ソフトウェアなど、組織が管理しているIT資産を見つけ出します。
そして、ツールを使用するなどして、発見したIT資産のIPアドレスやホスト名をリスト化します。このプロセスにより、子会社が所有しているIT資産や未把握のIT資産なども含め、企業の外部に公開されているすべてのIT資産を把握することが可能です。
②攻撃⾯の情報収集
2つ目のプロセスでは、発見したIT資産の詳細な情報を集めます。収集する情報は、OS・ソフトウェアの種類やバージョン、ポート番号などです。
情報を収集する際は、調査対象のシステムに影響を与えないように、Webページの表示といった一般的なアクセスの範囲内で行います。
③攻撃⾯のリスク評価
3つ目のプロセスで行うのは、前段階で収集した情報をもとにしたIT資産のリスク評価です。公開されている既知の脆弱性情報と収集したIT資産の情報を照合し、脆弱性がないかを判断します。
例えば、使用中のソフトウェアのバージョンが古く、既知の脆弱性が報告されている場合、そのIT資産は攻撃を受けるリスクが高いと判断されます。
④リスクへの対応
IT資産のリスク評価が完了したら、具体的なリスクへの対応方法を考えます。しかし、すべてのリスクに対応するのは困難です。そのため、リスクが顕在化したときに起こりうる被害と、対策にかかるコストのバランスを考慮し、対応するリスクの優先度を決定します。
例えば、重要システムの深刻な脆弱性には即座にパッチを適用し、影響の小さいリスクは次回の定期メンテナンス時に対応するなどの判断を下します。
脆弱性診断との違い
ASMと脆弱性診断は、脆弱性管理ができるという点で共通していますが、以下のような違いがあります。
| 違い | ASM | 脆弱性診断 |
| IT資産の範囲 | 外部からアクセス可能なIT資産(未把握のものを含む) | ⾃社で把握済みのIT資産 |
| 情報の確度 | IT資産の潜在的な脆弱性を示唆するにとどまる | 調査対象のIT資産に模擬攻撃のパケットを送信し、応答を評価することで脆弱性を特定する |
| IT資産への影響 | 対象のIT資産への影響はほとんどない | 模擬攻撃のパケットが、IT資産の動作に影響を与えることがある |
ASMは組織が把握していないIT資産を発見できるのが特徴で、調査対象のIT資産の動作にはあまり影響を与えません。しかし、脆弱性の特定は難しい一面があります。
脆弱性診断は情報の確度が高く、脆弱性を特定できるのが利点です。ただし、調査対象は自社で把握しているIT資産に限られ、調査の際も動作に影響を与える可能性があります。
このように、ASMと脆弱性診断の役割は似ているようで異なります。効果的なセキュリティ対策には、目的に応じてASMと脆弱性診断を使い分けるとよいでしょう。
特にASMが必要な領域
一般的にASMというと、内部ネットワークに存在するPCやサーバーなどのIT資産を対象とするイメージが根強いですが、見逃されがちなデジタルサービス領域における重要性が高まっています。DXの推進に伴い、企業のデジタルサービス活用が不可欠となる一方で、デジタルサービス領域におけるサイバー攻撃のリスクは増大しています。
DX推進においてデジタルサービスは欠かせない
DXは、企業の競争力強化と優位性維持に不可欠な取り組みです。DXを推進するためには、デジタルサービスを活用したビジネスモデルやプロセスの変革が欠かせません。デジタルサービスを活用すれば、業務の効率化だけでなく、顧客満足度の向上にもつながります。
具体的に、デジタルサービスの活用によって以下のことが可能になります。
- 従来の手作業や紙ベースのプロセスを自動化・デジタル化
- オンラインサービスを通じたより便利な顧客体験の提供
- クラウドツール・サービスの利用によるリモートワークの実現
実際、デジタル化が進む現代社会においては、ビジネスだけでなく日常生活でもデジタルサービスの利用が当たり前になってきています。このように、デジタルサービスは社会のあらゆる場面で不可欠な存在となっているのです。
デジタルサービス領域への攻撃が増えている
デジタルサービスの普及に伴い、サイバー攻撃も激増しています。2023年には過去最高の攻撃観測数を記録し、そのうち約3割がWebサイトやWebサービスで使用されるHTTP/HTTPSポートを標的としていました。
この状況を受け、2023年には「サイバーセキュリティ経営ガイドライン」が5年ぶりに改訂されました。ガイドラインでは、サプライチェーン全体を通じたセキュリティ対策の重要性が強調されています。さらに、2024年7月には「サプライチェーン強化に向けたセキュリティ対策評価制度の構築について」という提言がまとめられました。
未管理のWebサイトやWebサービスは、自社だけでなくサプライチェーン全体にリスクをもたらします。デジタルサービスの増加に伴い、Webの攻撃面への対策優先度を高める必要があります。
ASMの課題
ASMは、特にデジタルサービス領域における効果的なセキュリティ対策ですが、導入・運用には以下のような課題があります。
- 自社以外の情報が混じり精査に時間がかかる
- 専門知識を持つ人材が不足していると、対処が遅くなる
自社以外の情報が混じり精査に時間がかかる
ASMで自動調査を実施すると、名前が似ている企業の情報や無関係な組織のデータなど、自社以外の情報が混在してしまうケースがあります。膨大な量のデータが検出されてしまうと、一つひとつ精査しなければなりません。
誤って検出された情報を除外し、自社に関連する情報のみを抽出するのは非常に時間がかかります。また人手による確認は、自社に関する情報を見逃すリスクも伴います。
専門知識を持つ人材が不足していると、対処が遅くなる
ASMによって発見された情報を精査するには、専門知識を持つ人材の存在が不可欠です。しかし、ASMの知見を有する担当者がおらず、情報の調査や精査のプロセスが遅れてしまうケースも少なくありません。
情報の精査が完了しなければ、発見された脆弱性への対処も遅れ、組織のセキュリティリスクを高めてしまう危険性があります。課題の解決には専門知識を持つIT人材が必要ですが、IT業界全体で人材不足が叫ばれており、人材の採用・育成が困難な状況が続いています。
ASMの課題解決に有効な生成AI
ASMの課題は、生成AIを取り入れると解決できるケースがあります。例えば、生成AIを取り入れると以下のようなことが可能です。
- 生成AIが、検索結果に上がってきた組織名(文字列)を解読する
- SSL証明書の情報やIR情報など、複数の情報源をもとに総合的に判定する
生成AIは組織名の解読や情報の総合的な分析により、自動で自社に関する情報を精査できます。人手によるIT資産の精査が不要となり、これまでかかっていた工数を大幅に削減できます。
また、情報精査に必要な専門知識を持つ人材を新たに採用・育成する必要がなくなるため、コストの削減にもつながります。ASMの課題解決において、生成AIは強力な味方となるでしょう。
デジタルサービス領域のASMなら「AeyeScan」
クラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」は、新たな機能である「Web-ASM機能」を2024年11月に提供開始いたしました。Web-ASM機能はデジタルサービス領域の調査に特化しており、未把握のWebサイトやアプリケーションを継続的に発見することができます。AeyeScanの脆弱性診断によるリスク評価とあわせて、デジタル領域のASMをシームレスに行う仕組みを提供します。
AeyeScanの特徴は、生成AI技術を活用して効率的かつ網羅的にアタックサーフェス(攻撃面)を発見できる点です。生成AIにより、従来のASMの情報精査にかかる時間や、専門知識を持つ人材不足の問題を解決できます。
さらに、AeyeScanは脆弱性診断機能も備えているため、1つのツールで攻撃面の発見から脆弱性対策まで、シームレスなセキュリティ管理が可能です。デジタルサービスの重要性が増す中、AeyeScanを導入すれば効果的なリスクマネジメントの実現につながるでしょう。
まとめ|ASMを導入してIT資産を適切に管理しよう
ASMは、組織の外部からアクセス可能なIT資産を発見し、継続的に評価するセキュリティ管理のプロセスです。攻撃面の発見、情報収集、リスク評価、対応の4段階で構成されたプロセスを繰り返すことで、未把握のものを含んだIT資産を適切に管理できます。
特にDX化が進む現代社会においては、デジタルサービス領域でASMの必要性が高まっています。デジタルサービスを狙ったサイバー攻撃が増加しているため、Webの攻撃面への対策も見逃せません。
また、ASMの運用には情報精査にかかる時間や専門人材の不足などの課題もあります。課題は生成AIの活用によって解決できるケースがあるため、生成AIを取り入れているASMツールの導入を検討するとよいでしょう。
AeyeScanは、デジタルサービス領域に特化したASM機能を提供し、効率的なリスク管理を実現します。生成AIを取り入れているため、IT資産の管理にかかる工数を大幅に削減できます。より強固なセキュリティ体制を構築したいと考えている企業の方は、ぜひお気軽にお問い合わせください。
