今回の解説ニュース

ドキュメント概要

今回のドキュメントは、ASM導入が必要であるかの判断やASMツール/サービスの選定、ASMの運用体制の構築やASM活用事例をまとめたものです。目的として、ASMを活用したい組織やその担当者が、関連する用語や活用方法を理解し、目的に沿ったサービスを選定することや、既存のドキュメントを読み解く上で助けとなる情報を提供することが挙げられています。

ASMとは

ASMとは、Attack Surface Managementの略で、日本語で攻撃対象領域管理と訳されます。組織がサイバー攻撃にさらされる可能性のあるすべての領域を把握し、管理するためのセキュリティ対策です。

ASMの具体的な取り組み

ASMの具体的な取り組みとして、まず組織が保有するサーバーやネットワーク機器、アプリケーションなど、すべてのIT資産を洗い出します。そして、発見されたIT資産の脆弱性を洗い出し、リスクを評価します。その後、発見された脆弱性を修正するためのパッチを迅速に適用したり、不必要なアクセスを制限して、権限を最小限に抑えたりして、各IT資産の設定が適切に行われているかを継続的に確認します。

ASMのメリット

ASMのメリットとして、組織全体の攻撃対象を可視化することで、セキュリティ対策の抜け漏れを防止します。また、発見された攻撃対象に対して、リスク評価を行い、優先順位の高い対策から実施することができます。そして、攻撃対象の変化を継続的に監視することで、新たな脆弱性の発生や攻撃の兆候を早期に検知することが期待できます。

ASMと脆弱性診断の違い

ASMと脆弱性診断の違いとして、ASMは「広く浅く早く」、脆弱性診断は「狭く深く正確に」脆弱性の検出や評価を行うことが挙げられています。ASMと脆弱性診断は、どちらも脆弱性を洗い出す役割を果たしますが、その目的や対象範囲、実施方法などが異なります。

ASMの目的

ASMの目的として、組織全体の攻撃対象を可視化して、管理することが挙げられます。対象は、インターネットに公開されている全てのIT資産となり、継続的な監視により、新たな脆弱性の発生や設定変更を早期に検知できるため、脆弱性診断よりも広範囲なリスク評価が可能です。

脆弱性診断の目的

脆弱性診断の目的として、特定のIT資産に存在する脆弱性を特定し、そのリスクを評価することが挙げられます。対象は、特定のIT資産となり、対象資産に対して、既知や未知の脆弱性に対する疑似攻撃などを行い、脆弱性を特定するため、ASMよりも詳細な脆弱性情報を得ることが期待できます。

よって、ASMは、組織全体のセキュリティ状況を把握し、新たなリスクを早期に検知する取り組みであるのに対し、脆弱性診断は、特定の脆弱性を把握し、直ちに対策を実施するものです。どちらか一方ではなく、両方を組み合わせることでより効果的なセキュリティ対策を実現することができます。