情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト
タグから探す
働き方改革
人材不足
ITインフラ
労働環境
課題解決
クライアント管理
顧客対応
人材管理
セキュリティ
アウトソーシング
クライアント管理
中小企業
情シスパビリオン

ASMのススメ〜政府も進める新たなサイバー攻撃への対策、どう始めるか?

情報システム部門
セキュリティ

「ASM (Attack Surface Management)」は現在、政府も力を入れている新たな脅威への対策です。サイバー攻撃が高度化・巧妙化し、質・量の両面でその脅威が増加していると言われる中、ASMでの対策や取り組み方について考えます。

この記事の内容
「ASM」は官民連携し広がることが予測される
ASMが必要な理由とは?攻撃者の手口から考える新たな時代の備え方
ASMでは何を管理できるのか? どんな課題を解決できるのか?
まとめ

「ASM」は官民連携し広がることが予測される

かつてサイバー攻撃というと”愉快犯”や”迷惑行為”と見られていた時代がありました。しかし、それも遠い昔の話で、いまや「国民生活や経済活動の基盤」と「国家及び国民の安全」をサイバー攻撃から守るため、政府が能動的なサイバー防御を実施する体制を整えるための対策を提示するようになりました。

2023年には、経済産業省は「 ASM導⼊ガイダンス 」を公開。ASMの基本的な考え方や特徴、留意点などの基本情報とともに取組事例などを紹介し、自社のセキュリティ戦略に組み込んで適切に活用できるよう促しました。

また2024年、内閣官房(NISC)は「横断的アタックサーフェスマネジメント(ASM)事業の運用開始」に関するプレスリリースを公開し、「全ての府省庁(26府省庁)に加え、全ての独立行政法人(87法人)と一部の指定法人(9法人)を対象として、攻撃者の視点に立って、インターネットに公開されているサーバやネットワーク機器などの状態を網羅的に調査・評価し、脆弱性等を随時是正」しているといいます。
「我が国におけるサイバーセキュリティ政策について」NISC(2025年3月) より

我が国におけるサイバーセキュリティ政策について」NISC(2025年3月)

このように、サイバー攻撃の脅威に政府は本格的に取り組み初めている中、ASMも主要な取り組みの1つとなっています。また、こうした取り組みの中でも「官民連携」を重視していることから、今後もASMをはじめとした効果的な取り組みは民間の企業や団体にも広がっていくものと考えられます。

ASMが必要な理由とは?攻撃者の手口から考える新たな時代の備え方

このように政府が進めているASMは、なぜ重要視されているのでしょうか。その理由の1つとしては、攻撃者視点での対策であることが挙げられます。昨今、サイバー攻撃の分業化が進み、標的となる企業を「偵察」し、侵入するべく認証情報などの収集を進めています。こうした攻撃者の視点で、目的実行までの手法を段階的に示したものがサイバーキルチェーン(Cyber Kill Chain)ですが、それぞれの段階と手法を理解し、適切な対策を実行する必要があります。

サイバーキルチェーンとその備え

攻撃者がまず「偵察」で狙うのが、「組織の外部(インターネット)からアクセス可能な IT資産」です。標的となるIT資産としては、クラウドサービスや公開サーバ、VPN機器などが挙げられます。これらは「攻撃面(Attack Surface)」と呼ばれています。

攻撃者は偵察の後、マルウェアなどを利用して「攻撃面」に対しサイバー攻撃を行うことになります。「攻撃面」が企業のシステムへの侵入経路となることから、その特定と継続的な監視・管理により企業・組織のセキュリティを強化する仕組みがASMです。

ASMの管理対象領域

経済産業省の資料では、ASMの主なプロセスとして「(1)攻撃面(Attack Surface)の発見」「(2)攻撃⾯の情報収集」「(3)攻撃⾯のリスク評価」を挙げています。

「(1)攻撃面の発見」では、企業が管理している外部からアクセス可能なIT資産を発見することを挙げています。

「(2)攻撃面の情報収集」では、発⾒したIT資産の情報(例えば、OS、ソフトウェア、ソフトウェアのバージョン、 オープンなポート番号など)を収集します。

「(3)攻撃面のリスク評価」では、(2)をもとに攻撃⾯のリスクを評価します。既知の脆弱性情報と(2)の情報を突合し、脆弱性が存在する可能性を識別することが一般的です。

ASMのプロセス経済産業省「 ASM導⼊ガイダンス 」の「ASMのプロセス」より

ASMでは何を管理できるのか? どんな課題を解決できるのか?

ASMと似た対策に「脆弱性診断」が挙げられます。脆弱性診断の場合には企業や組織が把握しているIT資産がその対象となっています。

ASMではインターネットからアクセスできるすべてのIT資産が対象となっている点が大きな違いです。攻撃可能な領域のうち、管理範囲内、管理範囲外いずれも監視することで、セキュリティリスクを最小化することにつなげる手法がASMです。

ASM 脆弱性診断
概要 インターネットからアクセスできるすべてのIT資産が対象 企業・組織が把握しているIT資産が対象
目的 攻撃可能な領域を特定し、全体的なセキュリティリスクを最小化すること 既知の脆弱性を発見し、それらを修正するための具体的な推奨事項を提供し、リスクを無くすこと
用途 外部公開されているIT資産の可視化と管理 脆弱性の網羅的な抽出
メリット
  • 企業・組織が把握していないIT資産の脆弱性も特定できる
  • システムに負荷がかからない
  • インターネットに漏洩している資産に関連するアカウント情報なども特定できる
  • ダークウェブ上の情報まで収集できる
  • 脆弱性情報の確度が高い
  • インターネットからアクセスできないIT資産も診断可能
  • 診断対象を網羅的に調査できる
デメリット
  • 脆弱性情報の確度が低い
  • インターネットからアクセスできないIT資産は診断できない
  • 診断時にシステムに負荷がかかるためシステムダウンすることがある
  • 企業・組織が把握していないIT資産は診断できない

ASMの利用が推奨されるのは、上述の「攻撃面」となる「組織の外部(インターネット)からアクセス可能な IT資産」を持つあらゆる企業と言えます。

これまで「攻撃面」への対策を考えていなかったという企業も多いかもしれませんが、「外部公開されているIT資産が把握できていなかった」「攻撃面を継続的に管理するには人やコストが足りない」といった課題に直面する場合、ASMにより解決することを検討してみてはいかがでしょうか。

アタックサーフェスの把握・管理における課題とASMによる解決策

まとめ

今回は、セキュリティ対策としてASMが重要な理由や脆弱性対策との違い、どのような課題に対して効果的かなどを取り上げました。あらゆる企業や団体が攻撃者に「偵察」されている可能性がある現在、今回の内容を踏まえて、ぜひASMの取り組みを進めることを検討してみてはいかがでしょうか。

なお、情シスレスキュー隊では、引き続きASMに関する情報やASMサービス情報などの記事や資料などをご紹介していきます。詳しくは下記のリンクを参照してください。

ASMの基本がわかる資料を無料でダウンロード
ASMについて、その背景や目的など基本的な内容をわかりやすく解説した資料です。セキュリティ対策の強化に向けて、ぜひダウンロードして参考にしてはいかがでしょうか。
ダウンロードはこちら

<関連記事>
知らない間にサイバー攻撃の侵入経路が増えている! 新たな脅威への備えとなる「ASM」とは?

<セミナー情報> セミナー情報
<関連製品情報> 関連製品情報
関連キーワード
情報システム部門
セキュリティ
ITインフラに関するおすすめ記事
知らない間にサイバー攻撃の侵入経路が増えている! 新たな脅威への備えとなる「ASM」とは?
情報システム部門
セキュリティ
OSやソフトウェアは「最新」ですか?脆弱性による危険を減らすための重要な対策【Security Upgrade-2】
情報システム部門
セキュリティ
「セキュリティ対策が不安」なら? まずは5つのチェックで自社のリスクを可視化しよう【Security Upgrade-1】
情報システム部門
セキュリティ
パスワードの漏えいが招く重大事故に注意!パスワード強化のポイント【Security Upgrade-4】
情報システム部門
セキュリティ
ウイルス対策ソフト「導入」は当たり前?ランサムウェアの脅威に備え「運用」もチェックしよう【Security Upgrade-3】
情報システム部門
セキュリティ