経営課題として取り組むべきASM:「攻撃者目線」で死角を潰し、プロアクティブにリスク管理

・政府のメッセージ　～経済産業省「ASM導入ガイダンス」のポイント～

・「攻撃者目線」で防御する　～ASMと従来手法との決定的な差異～

・ASMの導入はなぜ必要か　～企業にとって留意すべき点～

・企業がASMを導入するための実践的なステップ

・ASMの課題、リスク、限界

・まとめ　～防御戦略の転換へ～

‍

1. はじめに　～なぜ一流企業でも被害を免れないのか～

このところ、ランサムウェアなどのサイバー攻撃によって、日本の国内企業が被害を受けるケースが頻発しています。販売管理のシステムが攻撃の対象となり、業績に直結するような大きな影響が出ているものも見られます。いずれも東証プライムに上場するような一流企業で、おそらく、情報セキュリティ管理には多大なコストを払っているものと思われます。

「従来からの情報セキュリティ管理では、最近の情勢には対応できないのか？」

情報セキュリティの担当者は、脆弱性への対応や情報流出リスクの低減などに力を注ぎ、万全を期しているのだと思います。しかし、急速なDXの推進、クラウドの利用の拡大、リモートワークの増加など、情報システムの変化は目まぐるしく、対策が後手に回っているというのが現場の実態ではないでしょうか。

本稿では、これらの問題を解決する一つの方策として、攻撃者目線での情報セキュリティ管理である、ASM（Attack Surface Management：攻撃対象領域管理）の導入についてご説明したいと思います。

国の機関が出しているASMに関する文書としては、経済産業省（METI）による「ASM導入ガイダンス」が2023年5月29日に公開されています。本稿では、公開から時間を経た現在の情報システム環境に照らし合わせ、このガイダンスを参照しつつ、円滑なASMの導入に向けての手順と、それにより得られる効果等について解説いたします。

‍

2. 政府のメッセージ　～経済産業省「ASM導入ガイダンス」のポイント～

経済産業省のガイダンスには以下のような内容が記載されています。技術的に踏み込んだ内容も含まれていますが、全体としては、ITの基礎知識があれば十分理解できるものではないでしょうか。

‍

2.1. 目的

民間組織がASMを導入することを支援するのが目的となっています。特に、CIOやCISOなどの情報セキュリティに対して責任ある立場の方々に、各組織の情報セキュリティ戦略にASMを組み込んでいただくことが期待されています。

‍

2.2. 記載内容

ASMの定義：「組織の外部（インターネット）からアクセス可能な IT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」

・ASM導入の標準的な手順

・ASMに関するツールやサービスに関する解説

・ASMに関する注意事項

・ASM導入事例

‍

2.3. ASMと脆弱性管理との関係

ASMと脆弱性管理は同種のものとして混同されやすいため、わざわざ章を設けて、脆弱性管理が把握済みの情報資産を対象とするのに対し、ASMは外部から把握される情報資産を対象とすると、違いを明確に説明しています。

また、把握される脆弱性の確度の差、実施した際のシステムに与える影響の有無についても言及しています。

‍

2.4. 最も重要な推奨事項：継続的運用

新たに出てくる攻撃対象領域を早期に捕捉するため、ASMを、単発ではなく、継続的に運用するよう強く促しています。

‍

2.5 注意事項

外部スキャンデータのみに依存せず、内部情報との検証を行う必要があること、過剰なアラートが発生する場合があること、資産の誤検知があることなどについて、注意喚起されています。

‍

2.6. 実用的な事例紹介：成功のための教訓

実践的な適用を説明するためのケーススタディ（事例）が含まれています。

‍

3. 「攻撃者目線」で防御する　～ASMと従来手法との決定的な差異～

3.1 ASM（Attack Surface Management：攻撃対象領域管理）とは何か？

ガイダンスでは、「組織の外部（インターネット）からアクセス可能な IT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」とされています。

従来の情報セキュリティ管理とは視点が異なり、まさに「攻撃者目線」であると言えます。また、情報資産やシステムの意図しない露出や、設定のミスなどにも対応し、内部視点からでは発見できないリスクを把握できるという点も従来とは異なります。

‍

3.2 ASMと脆弱性診断/ペネトレーションテストとの違い

「従来も、外部からのチェックとして、脆弱性診断/ペネトレーションテストをやってきているではないか」とのご意見もあると思います。

ペネトレーションテストは、能動的（実際に攻撃を仕掛けてみたりする）かつ範囲を限定して行われます。ペネトレーションテストは手間とコストがかかるため、顧客チャンネルなどの一部に限定して行われることが多く、システム導入の際に最初に行われるものの、継続的に実施されることは一般的ではありません。

一方、ASMは受動的（パッシブスキャンや公開情報（OSINT）が中心）、かつ網羅的に行われます。内部チームが認識していない、意図しない、あるいは忘れられた資産を発見するのにも役立ちます。

ASMは、多くの場合、ツールがパッケージ化されており、スキャンの結果をリアルタイム性の高いデータベースとして管理する機能を有しています。これにより、情報システムが絶えず変化する現代において、継続して（自動的に）実施することが容易になっています。

ASMで情報資産を網羅的に把握し、その結果、特に深刻なリスクが発見された場合に限定的かつ能動的なペネトレーションテストを実施するという組み合わせが、リスクを全体的にカバーしつつ、コストを最適化できる、最も効率的な情報セキュリティ確保の道筋につながります。

‍

3.3 主要なプロセス/フェーズ（METIガイダンスに基づく）

ガイダンスをベースにして、ASM実施の手順を、準備から継続実施に広げて整理しました。

(1) 計画/スコープ定義

　計画を立案します。あらかじめ実施について、社内の合意をとる必要があります。

　実施範囲を規定します。社内、グループ内、サプライチェーンも含むなど。

(2) アタックサーフェスの発見

　ドメイン、IP、サブドメイン、サードパーティの露出を把握します。

この際に、シャドウITが発見されることも少なくありません。社内のある部門で、勝手にクラウド上のストレージを使っていたりしませんか？

(3) 情報収集と分析

露出が確認された資産について、ソフトウェアバージョン、開いているポート、サービス、設定の良否等を調査します。

設定の問題は、「デフォルトだから安全」という誤解があることが多いです。

(4) リスク評価/スコアリング、優先順位付け

現状を把握して、それぞれにリスク評価を行い、結果をスコア化します。リスクの高いものから順に優先順位を付けて、担当者に通知します。

(5) 対応/修復（レメディエーション）/追跡

リスクを排除すべく、各部門において対策を実施します。対策には、パッチ適用や設定変更だけでなく、不要になった資産の廃止・削除（デコミッショニング）も含まれます。管理者は対策が講じられて、リスクがなくなっているかどうかを追跡します。

(6) 継続的な監視とフィードバックループ

DXの推進やクラウド利用が続く限り、アタックサーフェスは常に変化します。引き続き、ツールを活用して定期的にこの手順を実施し、リスク評価の結果を開発・運用チームにフィードバックすることで、セキュリティ対策を設計段階から組み込む体制作りを目指します

‍

3.4 ASMの特徴と課題

(1) 内部の資産台帳では見えない資産/露出を検出する

従来の管理が、台帳による管理で、台帳上にないものには管理が及ばないのに対し、ASMでは台帳にないものでも、公開情報（OSINT）などで発見することが可能です。

たとえば、ある部門でクラウド上のストレージを共有していて、それが意図せず社外からもアクセス可能であるような場合、公開情報にそれが上がっていたりすれば発見できることがあります。

販促のキャンペーン等で一時的に利用したドメインがそのまま残っていたりすることがありますが、ツールによっては、過去のドメインをデータベース化して保有しており、遡って追跡できるものもあります。

(2) 外部視点: 攻撃者に見えているものを捉える

攻撃者が攻撃を企図する際には、最初にIPアドレスやドメインの調査、さらに解放ポート/サービスの調査、そして攻撃というような手順を踏みます。これと同じ手順で情報を収集し、攻撃可能性の観点からリスクを評価するため、まさに「攻撃者視点」に立った調査が可能です。

(3) データの不確実性/「ノイズ」（誤検知、古いデータ）がある

網羅的に公開情報を使って調査を行うため、古い情報による誤検知（ノイズ）があるのは避けられません。ドメイン名などは、一元管理されていれば、過去の利用履歴等で確認できますが、廃棄したドメインまで管理していることはまれなので、過去に使っていたドメインであることを確認することは難しい場合があります。

また、クラウド上のシステムは必要に応じてインスタンスが作成されたりするので、動的な変化に追従することが難しい場合があります。

データの不確実性を減らすには、ASMツールが提供する情報の鮮度や履歴追跡機能を評価し、導入後に発見された資産の所有者を特定し、確認するプロセスを徹底することが重要です。

(4) 発見事項の内部的な検証が必要

外部から見えている状況を、内部的に管理している情報と対照する必要があります。特に、対策を講じる場合は、これができないと対象が把握できません。

(5) 優先順位付け: すべての発見が同じくらい重要ではない

見つかった問題点をリスクの大きな順に優先順位付けする必要があります。同じ問題でも、顧客チャンネルに存在するものと、社内的に利用するシステムに存在するものでは、対応の優先順位は異なります。

(6) リソースとスキルの要件（ツール、分析担当者）。

おそらく、これが最大の問題です。少なくともASMの実施全体を管理する管理者には、一定程度の経験やスキルが必要であり、その確保は容易ではありません。ツールも、一度導入すると、短期間で変えることが難しいため、選定は慎重に行う必要があります。

この課題を解決するため、ASMを専門とする外部サービス（M-ASM: Managed ASM）を利用し、ノイズの評価やリスク分析をアウトソースする選択肢も増えています。PoCなどで、自社の体制と目的に合ったツール、または外部サービスを選定することが導入成功の鍵となります。

‍

4. ASMの導入はなぜ必要か　～企業にとって留意すべき点～

ASMが重要かつ必要な理由、背景を列挙しました。導入を検討する際の指標となれば幸いです。

‍

4.1 サイバーリスクと脅威の状況

攻撃者は、脆弱な資産や忘れられた資産（例：露出したポート、忘れられたサブドメイン、パッチ未適用のサービス）を悪用して侵入します。日本国内で発生したランサムウェア感染の80%以上が、外部に面した資産（VPN、リモートアクセスデバイスなど）の管理不備に起因しています。このデータが示すのは、攻撃の入口の多くは、内側の複雑さではなく、「外部から見えるミス」にあるということです。また、デジタルフットプリントの急速な増加（クラウド、SaaS、IoT）により、新たな露出経路も次々と出現しています。これらを攻撃者目線でリサーチすることで、攻撃の芽を事前に摘むことができるかもしれません。

‍

4.2 従来のセキュリティアプローチにおける死角

内部で管理されている資産台帳は、システム（特にシャドウIT、アドホックなサービス）を見落としがちです。内部チームは、外部から見える設定ミスや露出を常に検出できるわけではありません。しかも、脆弱性スキャンやペネトレーションテストは対象範囲が限定されており、未知の資産を捉えられない可能性があります。

ASMを導入することで、これらの死角をカバーすることができます。

‍

4.3 コンプライアンス、風評リスク、ガバナンス

ガイダンスは、ASMが責任あるサイバーセキュリティ上のガバナンスの一部であるという、政府からの明確なメッセージです。政府が推奨するガイダンスへの準拠を示すことは、コンプライアンス、監査可能性、ステークホルダーの信頼を強化するものとなります。逆に、外部の放置された資産を経由した侵害は、深刻な風評被害、顧客信頼の喪失、法的責任、規制当局による罰則につながるおそれがあります。

‍

4.4 サプライチェーンとサードパーティリスク

企業のセキュリティ強度は、最も弱いリンクと同じ強度になってしまいます。ベンダーやパートナーのセキュリティが十分ではない場合、攻撃者は、これらを経由して侵入することが多いのです。

ベンダー/サプライチェーン参加者に対するASMは、それらのエンティティの外部露出が自社を脅かさないかを検出するのに役立ちます。

経済産業省が提唱するサイバーセキュリティ政策も、ASMの利用を含むクロスサプライチェーン対策を強調しています。

ただし、ASMをベンダー/サプライチェーンにまで広げる場合は、法的リスクを考慮して、あらかじめ相手方の同意を得ておくなどのコンセンサスが必要となります。

‍

4.5 事後対応型からの脱却：プロアクティブなリスク低減へ

ASMは、露出が悪用される前に特定し、修正するのに役立ちます。組織を事後的なインシデント対応から、事前的なリスク低減へと移行させることができるかもしれません。

時間をかけてアタックサーフェスを削減し、侵害の可能性を下げ、セキュリティ負債を減らすことに貢献するでしょう。

‍

4.6 戦略的優位性/ビジネスイネーブラー

強力な外部セキュリティ体制を持つことは、競争上の差別化要因となり得ます。パートナーの信頼の獲得や、調達上の必要性、投資家からの評価の向上など、戦略的に優位に立てる可能性があります。

‍

5. 企業がASMを導入するための実践的なステップ

前述の3.で整理した継続的なプロセスを実行するために、組織としてどのような体制やガバナンスを構築し、ツールを選定すべきか、より具体的なアプローチについて整理しました。

‍

5.1. リーダーシップの関与とガバナンスの構築

役員/経営層にASMの必要性を理解してもらい、責任の割り当てを明確にしておかなければなりません。全社的な協力・参画が必要です。

20年以上前に取得され、その後忘れ去られたドメインが、ASMによって把握され、社内のどの部門が管理しているかを特定するのに、数か月を要したケースも存在します。

全社的な協力を背景として、継続して実施するためには、ASMの実施をサイバーセキュリティロードマップに組み入れることが必要です。

‍

5.2. ガバナンス、報告、監査

実施した結果は、その主要な指標をリーダーシップに報告しなければなりません。改善状況と残存リスクを追跡し、その状況についても報告が必要です。

可能であれば、内部監査/コンプライアンスプロセスに組み込むことで、これらがルーティン化され、継続実施につながります。

‍

5.3. サプライチェーン/パートナーへの拡張

サプライチェーンやパートナーに対して、セキュリティの要件を求める際に、自己申告的なチェックシートで確認している企業は多いと思います。客観的な評価として、認証の取得状況の報告を求めているケースもあります。

外部的な評価として、ASMの実施を求めることも、検討してみてはどうでしょうか。ASMが一般的になった段階では、無理な要求ではないと考えられます。

また、多くの子会社を抱える企業にとっては、個々にチェックシートを提出させ、それを確認するだけでなく、ASMによる評価により全体を底上げするというアプローチもあり得ます。特に、海外に拠点が存在する場合は、日本にいながらリアルタイムに評価を行うことができるという点で、大きなメリットがあるでしょう。

‍

6. 課題、リスク、限界

ASMにも様々な問題、限界があります。

導入に際して、留意すべき点をいくつか列挙します。

‍

6.1. 検知結果の不確実性とノイズの問題

外部からのスキャンの結果が古いものであったり、誤検知を含んだりしている可能性があります。情報資産の最新の状況を確実に反映できているとは限らないので、必ず内部の情報と検証が必要です。

ところが、全ての検知結果を内部で検証するのは極めて大きな労力を要します。特に、管理を外注・委託しているような場合は、検証自体が難しいことも少なくありません。

ノイズの問題も多数見受けられます、事実上問題がないにもかかわらず、多数のアラートが確認されることがあります。これらを問題なしとして片づけることはできません。重大な問題が含まれている可能性があるからです。

これらを峻別するためには、全数について検証が必要になります。あまりにも過剰なアラートはその対処だけで、チームを疲弊させてしまいます。

6.2. リソース/スキルのギャップ

実際にASMを実施するには、一定の経験と知識を持つスタッフが不可欠です。このようなスタッフは貴重で、仮に社内に在籍していても既に他の業務にアサインされていることがほとんどでしょう。外部のリソースを使うことも検討してください。マネージドサービスとして、計画から反復実施までをサポートするサービスも存在します。

‍

6.3 費用対効果のバランス

フルカバレッジのASMは高価になる可能性があります。本来は死角なく実施することが理想的なのですが、費用対効果を考慮して、一定の範囲に絞ることも選択肢になると考えられます。

また、ガバナンス上、問題を知りつつ放置することはできませんので、検知結果への対応には費用を要することを、あらかじめ社内に説明しておく必要があります。

‍

6.4. 法的/ポリシー上の制約

外部ドメイン（特にサードパーティ）のスキャンやプロービングについては、相手方との調整が事前に必要です。ASMのスキャンはファイアウォールなどに履歴が残りにくいとは言われていますが、抜き打ち的な実施は控えるべきでしょう。

ペネトレーションテストでシステムがダウンしたというような笑い話にもならないような事例を聞くことがありますが、ASMもシステムに与える影響はゼロではありませんので、トラブルを回避するためにコンセンサスを得ておくことが必須です。

‍

7. まとめ　～防御戦略の転換へ～

経済産業省が「ASM導入ガイダンス」を公開したことは、企業がアタックサーフェスの継続的な管理を、もはやオプションではなく、セキュリティガバナンスの必須要件として認識すべき時が来たことを示しています。

ASMは、従来のセキュリティ管理では捉えきれなかった「死角となっているリスク」を表面化し、事後対応からプロアクティブ（事前対応）なリスク低減へと防御戦略を転換させるための強力なツールです。

自社の情報資産を内側から眺めるだけでなく、「もし熟練した攻撃者が外部から見たとしたら、自社の状況はどう映るだろうか？」という視点を経営層と担当者全員が持つことが求められます。

まずは、全社ドメインの一部など範囲を小規模に絞ったPoC（概念実証）から始めてみてはいかがでしょうか。この小さな一歩が、貴社が気づかなかった深刻な露出リスクを早期に表面化させる鍵となります。

ASM導入の成功には、「ツールの選定」「ノイズの分析」「継続的な運用体制」といった専門的なスキルとリソースが必要です。「どこから手をつけていいか分からない」「専門人材が不足している」といった課題をお持ちの場合は、ぜひ弊社にご相談ください。

貴社の体制と目的に合わせ、ASMを中心とした戦略的なソリューションをご提案し、効率的かつ効果的な攻撃領域管理を実現いたします。

‍