中堅・中小企業にもサイバー攻撃の脅威が広がる中、公開されたIT資産の把握と管理が重要になっています。注目される「ASM(Attack Surface Management)」ですが、社内での導入には負担も大きいため、専門家の支援を受けられる「ASMサービス」の活用が効果的です。本コラムでは、ASMサービスの選び方をご紹介します。
ASMをサービスで利用するメリットとは?なぜ中小企業にASMが必要なのか
近年、サイバー攻撃は大企業のみならず中堅・中小企業も標的とするケースも増えています。特に、最近ではサイバー攻撃の分業化が進んでおり、企業の認証情報の収集・売買に特化した攻撃者がいることも知られています。
こうした背景から、中堅・中小企業であっても攻撃者の標的になるリスクは十分にあり、セキュリティ対策は不可欠といえます。攻撃者視点で考えた時に、攻撃されやすいのがインターネットに公開されているIT資産です。例えば、公開サーバやクラウドサービス、VPN機器など外部公開IT資産が知らぬ間に攻撃者から狙われてしまう恐れがあるのです。
こうした外部公開されたIT資産は攻撃面(Attack Surface)と呼ばれますが、これらを常時把握し、脆弱性やリスクを早期に見つけ出す「ASM※」の重要性が指摘されるようになっています。
※ASMの基本情報や背景は下記を参照・経済産業省「 ASM導入ガイダンス 」
・ ASM入門編「知らない間にサイバー攻撃の侵入経路が増えている! 新たな脅威への備えとなる「ASM」とは?」
・ ASM実践編「ASMのススメ〜政府も進める新たなサイバー攻撃への対策、どう始めるか?」
ASM導入で立ちはだかる5つの障壁
ASMが重要ということがわかっても、情シスのリソースや専門知識が課題となる中堅・中小企業にとって、ASMを自力で導入・運用するのは困難と考えられます。その理由として、次の5つの障壁が挙げられます。
- 1.検出結果の内容がわからない
- 検知された脆弱性や警告の内容、深刻さの度合いなどが判断できなければ、適切な対処は困難です。
- 2.リスクの精査は困難
- リスクの洗い出しや評価、分析などを行い、対策するには知識や経験が求められます。
- 3.優先順位付けが難しい
- 複数のリスクがある中で、どれから対応すべきかを判断するには知識や経験が必要。
- 4.誤検知・過検知の判断ができない
- すべての検知が本当に対応すべきものとは限らず、ノイズの多さが本質的なリスクの見落としにつながる恐れもあります。
- 5.最新の脅威に追いつけない
- 例えばダークウェブ上での情報漏えいなど、継続的な監視ができていなければ気づけない脅威が存在します。そうした新たなリスクに対する反応が遅れることで、深刻な被害に発展してしまう可能性があります。
ASMサービスを利用するという選択肢
こうした障壁を乗り越える手段として、ASMをサービスとして利用する選択肢が注目されています。
自社内に知見や体制がなくても、外部の専門家による支援を受けながらASMを実践できるのが大きな特長です。
ASMサービスを活用すれば、プロの視点によるリスク分析や対策提案など、自社内では難しい対応ができるようになります。また、検出されたリスクの評価から優先順位付け、必要なアクションの実行支援までを一貫して任せることで、迅速な対応が可能になります。
さらに、小規模な情シス体制でも無理なく運用できる点や、業務への負担を最小限に抑えながら継続的かつ実効性のあるセキュリティ管理を実現できる点は大きなメリットでしょう。
ASMサービスを利用する主な目的を下記にまとめましたので参考にしてみてはいかがでしょうか。
| 目的 | 解説 |
|---|---|
| 攻撃面の発見 | 攻撃面の発見。自社が意図して公開しているサーバやWebサービスがどこにあるかを把握することで、不正なアクセス経路を可視化できます。 |
| リスクの可視化 | 設定ミスなどにより、社内用の情報が外部からアクセス可能になっていないかを確認します。 |
| 素早い対処が可能に | 企業のメールアドレスや顧客情報が取引対象になっていないか、ダークウェブの定期監視によって早期発見を目指します。 |
| 幅広いサポート | ツールの運用を任せられ、リスクの精査や優先順位付け、QAサポートによって、真に対処すべき箇所に対して対応ができます。 |
ASMサービスを選定する際にチェックすべき3つのポイントとは?
ASMサービスの実用性を理解しても、次に悩むのが「どのサービスを選べばいいのか」という点ではないでしょうか。ここでは、自社に適したASMサービスを見極めるために押さえておきたい3つの視点をご紹介します。
- 1.外部公開資産やダークウェブ含めた漏洩情報を可視化できること
-
サイバー攻撃者は、企業が見落としている外部公開サーバや古いクラウドサービス、放置されたドメインなど、"スキ"を突く情報を巧妙に狙ってきます。ASMサービスはこうした外部公開されたIT資産を網羅的に洗い出すだけでなく、ダークウェブ上に漏洩した認証情報や企業データも検知対象に含め、より現実的なリスク把握を可能にします。
例えば、ダークウェブ上で企業のメールアドレスやパスワードが売買されていた場合、従業員が気づかないまま重大な被害に直結するリスクがあります。ASMサービスを活用することで、こうした「目に見えない外部リスク」も含めて、広範囲な可視化と早期対策が実現できます。
- 2.運用負荷は最小限で導入が可能なこと
-
ASMを導入する際に大きな壁となるのが、運用の手間や専門知識の確保です。特に中小企業では、情シス担当者のリソースが限られているため、日常業務に追加の負担がかかる仕組みは定着しにくい傾向にあります。
そのため、運用サポートを提供するASMサービスを選ぶことで、社内での作業負担を最小限に抑えることが可能になります。たとえば、資産の監視・レポートの定期提供・アラートの説明といった対応をベンダー側が支援してくれることで、情シスの工数を削減しながらも継続的なセキュリティ対策が実現できます。
- 3.リスクの検知と、緊急度に合わせ次の「打ち手」がわかること
-
ASMサービスでは、常時監視によって外部環境の変化や新たな脅威をリアルタイムで捉えることができます。しかし、単に検知できるリスクが多ければ良いわけではありません。中には、対処を急がなくても問題のないリスクも含まれるため、リスクの選別ができることが、サービス選定のポイントになります。
そのため、ASMサービスを選ぶ際には、検出できるリスクの「数」よりも「質」や「優先順位づけ」、そしてその後の「対策」まで含めた運用のしやすさに着目することが重要です。
ASMサービスの目的は「検出すること」だけではありません。検出されたリスクに対し、どう判断し、どのようなアクションを取るのかという「次の打ち手」も考慮に含めて設計されている必要があります。例えば、下図の左側のような結果から、右側のような対策を行えるような体制が求められます。このように、リスクに対し確実に対応できるためのASMサービスを利用することがおすすめです。
付け加えると、ASMの運用は継続的に行うべき活動であり、定期的にチェックし改善のサイクルを回していくことが求められます。そのため、初めからすべてを完璧にこなそうとするのではなく、小さく始めて、徐々に仕組みを整えながら拡張していくというアプローチも効果的です。そのためにも、自社に合ったペースでの運用が可能で、信頼できるパートナーを選ぶことが、ASMサービスの長期的な運用の成功につながることでしょう。
まとめ
ASMサービスは、リソースが限られた中堅・中小企業にとって、外部からの攻撃リスクを可視化し、効率的に管理するための現実的な手段です。
本記事で紹介した3つの重要なチェックポイント――「外部リスクの可視化」「最小限の運用負荷」「緊急度に応じた迅速な対応」――を踏まえることで、自社に最適なASMサービスを選定し、セキュリティ対策を一歩先に進めることができます。ぜひ、本コラムを参考に自社に適したサービスを選んでください。
なお、ここで取り上げた、3つの重要ポイントを備えたASMサービスや、ASM情報、セキュリティ対策情報等について詳しく知りたい方は下記のリンクをご覧ください。
<関連記事>
・
ASM入門編「知らない間にサイバー攻撃の侵入経路が増えている! 新たな脅威への備えとなる「ASM」とは?」
・
ASM実践編「ASMのススメ〜政府も進める新たなサイバー攻撃への対策、どう始めるか?」
