IT、デジタル技術の進歩はますます盛んです。各種のサービスやIT資産の形は様々に変化し、我々の社会にも大きなメリットをもたらしています。
しかしながら、技術の発展はセキュリティの確保を難しくするという一面も持っています。幅広く、様々なシーンでIT、デジタル技術が利用され、その種類も増え続ける状況はセキュリティ対策を行う対象が増加するという意味合いもあるわけです。

そこで、セキュリティ管理上の考え方として登場したのがアタックサーフェスやASM（アタックサーフェス管理）です。

本記事では、アタックサーフェス、ASM、ASRMなどについて、分かりやすく説明します。今後の情報セキュリティ確保に向けて、理解を深めておきたい内容です。

ASM（アタックサーフェス管理）とは？

アタックサーフェス管理（ASM：Attack Surface Management）とは、組織におけるアタックサーフェスに対し、セキュリティ状況の把握と監視を行い、アタックサーフェスを継続的に評価、分析することでセキュリティを確保する取り組みです。

各種のツールを用いて、サーバーやネットワーク、IoT機器、デジタルデバイスなどのアタックサーフェスの情報を継続的に監視、収集・分析します。この継続的な監視と情報収集により、時間の経過とともに起こるアタックサーフェスの変化を捉えることも重要な目的です。

アタックサーフェスとは

アタックサーフェス（Attack Surface）とは、サイバー攻撃の侵入経路となり得るあらゆるIT資産、攻撃点を指します。

アメリカ国立標準技術研究所（NIST）による「SA-11(6): Attack Surface Reviews」では、アタックサーフェスにはハードウェア、ソフトウェア、およびファームウェアのコンポーネントにおける脆弱性が含まれます。コンピュータへのアクセス経路となるネットワーク機器やWebへアクセス可能な従業員の利用する端末などもアタックサーフェスの一つです。

日本でのASMへの注目度合い

2023年5月、経済産業省は「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を作成しました。組織のIT資産を守る取り組みとして注目を集めるASMについて、活用を推し進めています。

国内外のベンダーによりASMのための各種ツール・サービスの提供が始まっており、国内の企業でも広く適用が進められている段階といえるでしょう。

ASM（アタックサーフェス管理）と脆弱性診断の違い

ASMと脆弱性診断はいずれも、IT資産やシステムなどにおける脆弱性を探し、セキュリティ向上につなげる施策です。ただし、両者の間には実施の目的や範囲に違いがあります。

ASMは常日頃からアタックサーフェスの情報収集、監視を行うことで、事前にセキュリティリスクを抑制する取り組みです。セキュリティリスクの軽減策として取り入れられるケースが多いでしょう。また、対象となるシステムやハードウェアなどはアタックサーフェス全体と広いことも特徴です。

一方、脆弱性診断は特定のITシステムなどにおける脆弱性を診断します。ASMより集中的・徹底的に調査を行うため、脆弱性を炙り出す効果が高いことが特徴となります。ただし、対象となるIT資産は限定的であり、調査時点の状態に対しての調査のため、継続的な対策にはあたりません。

ASMと脆弱性診断は、セキュリティ対策として並立する施策であり、目的と対象によって適切に使い分けることが必要です。

ASMの必要性

ASMの必要性が高まり注目を集めるようになった大きな理由の一つは、IT資産、ITシステムが複雑に変化し続けていることです。また、それに合わせてサイバー攻撃の手口や手法が複雑化していることも大きな要因です。

特にランサムウェアによる被害が顕著になり、サプライチェーン攻撃が広がりを見せたことは企業や組織に危機感を与え、ASMが注目される機会となりました。さらに、2019〜2020年には新型コロナウイルスによりテレワークなどの働き方が急速に広がったことで、アタックサーフェスとなるデバイス、経路などが増え、必要性が高く認識されるようになりました。

ASMの仕組み

ASMは、組織において守るべきデジタル資産を可視化し、継続的な監視を行います。アタックサーフェスが時間の経過と共にどのように変化しているのか把握し、セキュリティを強化する取り組みです。

特に、下記を実現するために情報の収集、可視化、分析およびリスクの管理をツールを用いることで自動化するケースが一般的です。なお、後述しますがアタックサーフェスに関するリスクの管理をASRM（Attack Surface Risk Management）と呼びます。

収集

ASMでは、アタックサーフェスとなり得るハードウェア、ソフトウェアなどへのアクセス等を常時監視し、継続的に情報を収集します。これらの蓄積により、アタックサーフェスの変化を見定めます。

例えば、過剰なアクセスが発生しているデバイスがあれば、アカウント情報が流出していないか、ブルートフォースなどで攻撃されていないかを疑うべき予兆といえます。

可視化

可視化では、継続的に集めた情報を集計し、グラフや表などにまとめて見やすくします。アタックサーフェスに起きている変化を、時系列で可視化することで、発生しつつあるセキュリティ上の問題を把握するのに役立ちます。

可視化した情報によりアタックサーフェスの状況を適宜評価し、危険性があれば対応につなげます。

要因の分析とリスクの軽減

収集した情報から、アタックサーフェスへのアクセスを比較して、その要因を分析します。デバイスごとの情報、連続性、サイクルなどを、情報の把握、可視化から見出し、不自然な兆候があれば共通した傾向を探してリスクの削減に努めます。

ASRM

ASMと類似する、関連のある管理としてASRM（アタックサーフェスリスク管理）があります。ASRMとは、ASMが収集した情報および把握したリスクに対し、評価、軽減を行いリスクマネジメントを実施することです。

情報セキュリティ上のリスクは、経営のリスクとも言われるほど重要性が高いです。リスクは早期に発見し、適切に手立てを取ることで小さなコストで対応が可能です。

ASMの活用ポイント

ASMを導入、活用する際のポイントとして下記が挙げられます。

自動化による利用者負荷の軽減

ASMを行う場合には、対象となるデバイスやソフトウェアは多数存在します。このため、情報の収集や蓄積、可視化などはツールを用いて自動化し、実施負担の軽減が必要です。

ASMに取り組んでも負荷が高くて十分に役立てられていないような状況は避けるべきです。

XDRとの相乗効果を図る

ASMは攻撃を受ける可能性のある領域を管理するというセキュリティ確保の方法です。しかし、全ての攻撃や侵入を見つけられるとは限らず、侵入されたあとの動きなどは検知できません。

ゼロトラストの考え方に基づいたセキュリティ対策であるXDRとの組み合わせにより、不足する部分を補い、より強固なセキュリティを確保することができます。一つのセキュリティ対策を過信することなく、各種の対策を組み合わせて総合的なセキュリティ強度を確保することが重要です。

まとめ

ASMは外部からの攻撃対象となり得るハードウェアやソフトウェア（アタックサーフェス）の情報を継続的に収集・監視することにより、セキュリティリスクの軽減を図る取り組みです。各種のツールを用いて自動化することが推奨されます。

ASMは組織のセキュリティを高める方法の一つであり、それだけでセキュリティ対策を完結させることができるわけではありません。XDRやその他のセキュリティ製品を組み合わせて、総合的にセキュリティを確保することが重要です。

SMSデータテックでは、各種のセキュリティ製品を提供しています。ASMと組み合わせて万全のセキュリティ対策を整える方策としてご検討ください。

• ダークウェブへの情報漏洩を監視する「ダークウェブアイ」
• 次世代型エンドポイントセキュリティ（EDR）「CrowdStrike Falcon Endpoint Protection」
• エンドポイント対策とクラウドセキュリティ対策を同時に実現「CrowdStrike Falcon×Netskope」