デジタル化やリモートワークの普及により、企業が保有するデジタル資産が増えています。企業によっては、適切に管理されていないケースも見受けられるため、悪意のある第三者やサイバー攻撃にとって格好の標的です。

サイバー攻撃が高度化・多様化するなかで、企業が保有するデジタル資産をどのように守るかが大きな課題となっています。セキュリティ対策の一環として、注目されているのがASMの導入です。

この記事では、ASMの基礎知識や導入の課題と解決策をIT初心者向けに、わかりやすく解説していきます。

ASMとは？

ASMは日本語で、アタックサーフェスマネジメントと訳します。インターネットから、アクセス可能なデジタル資産を特定して、存在する脆弱性や攻撃リスクを継続的に評価、管理する手法です。ASMは単なる脆弱性診断ではありません。組織全体のデジタル資産を総合的に把握し、攻撃リスクを軽減することを目的としています。

ASMの4つの基本プロセス

ASMは外部からアクセス可能なデジタル資産を特定して、潜むリスクを継続的に評価、管理するという一連のプロセスで構成されています。次の項目では、ASMの4つの基本プロセスをお伝えしていきます。

1. 攻撃対象領域の特定
2. 資産情報の収集
3. リスク評価
4. リスクへの対応

1.攻撃対象領域の特定

ASMのプロセスでは、企業が保有するデジタル資産や関連情報などが、攻撃対象領域として特定されることが一般的です。例えば下記のようなものが挙げられます。

• クラウドサービス
• アカウント
• 端末
• OSバージョン
• IPアドレス
• ホスト名

ASMではサイバー攻撃による、不審な挙動や攻撃の痕跡を調査し、潜在的な脅威の特定が重要とされています。

2.資産情報の収集

資産情報は、継続的に更新される重要なデータです。ASMプロセスでは、企業が保有する資産情報の収集が、攻撃対象領域を把握するために重要です。例えば、ソフトウェア、バージョン情報、OS、オープンポート番号などの調査を行います。

3.リスク評価

ASMは企業のデジタル資産をリストアップし、リスク評価を行うことで攻撃対象領域を適切に管理します。攻撃が実行される可能性と、攻撃後の影響からリスクスコアの定量的な算出を行い、リスクの重大度を評価します。

4.リスクへの対応

リスク評価に基づき、パッチ適用や脆弱性管理、セキュリティ対策などの対応がASMプロセスに含まれます。リスク評価は企業の、セキュリティ対策の指針となるポリシーや、ガイドラインの策定に役立ちます。

ASMの導入の課題と解決策

ここまでで、ASMの基礎知識や基本プロセスをお伝えしてきました。企業のデジタル資産の安全性を確保するために、ASMの導入は効果的ですが、同時にいくつかの課題があります。次の項目では、ASMの導入の課題と解決策をお伝えしていきます。

複雑化する攻撃手法への対応

サイバー攻撃は日々進化しています。新たな攻撃手法が次々と登場し、従来の防御策では対応しきれないケースも増えています。例えば、ゼロデイ攻撃では未知の脆弱性が狙われるため、従来の防御策では対応が難しい場合があるでしょう。フィッシング攻撃やランサムウェアなどの、サイバー攻撃による被害も増えています。

解決策

ASMによって外部から見えるIT資産を洗い出し、それらがどのように攻撃者に利用される可能性があるかを評価することで、新たな脅威への早期対応を可能にします。ASMツールの活用も効果的です。自動化されたASMツールを活用して、リアルタイムで高速かつ正確に脆弱性を検出できるため、人間では見逃しやすい細かなリスクも発見可能です。

コストと効果のバランス

ASM導入には、ツール費用や人件費が発生します。一定のコストがかかりますが、費用対効果がすぐには見えづらいという声もあります。企業ではサイバー攻撃に対する計画的な、セキュリティ対策や、必要な予算の確保が大きな課題です。

解決策

クラウドベースのASMツールで初期投資を抑えられます。サブスクリプション型サービスを活用するのもおすすめです。初期コストを抑えつつ高い効果を得ることが可能です。導入する際は、自社に最適な機能を持つASMツールを選定しましょう。

継続的監視のリソース不足

ASMは単発で終わるものではなく、継続的な監視と更新が求められます。人材不足や時間的制約により、継続的な監視体制が構築できない企業もあります。

解決策

自動化機能付きASMツールの導入で、人手不足を補えるため人的負担を軽減できます。また、一部業務を外部委託することで、効率的な運用も可能です。例えば、SOARプラットフォームはインシデント対応を自動化し、効率的な運用を可能にします。

IT資産の管理不足

企業のなかには、自社が保有するIT資産全体を正確に、把握できていないケースがあります。IT資産の管理不足により、脆弱性が見落とされるリスクが高まります。

解決策

ASMツールは、自社や社外を問わずIT資産を網羅的に可視化する機能があります。IT資産の定期的な管理を行うことで、管理不足を防ぎ脆弱性が見落とされるリスクを軽減します。

ガバナンス体制の不備

セキュリティ対策には明確なガバナンス体制が必要ですが、企業によっては責任範囲や対応方針が曖昧なケースもあります。トラブルや不具合が発生した際、ガバナンス体制の不備により、迅速な対応が難しくなり被害が広がる恐れがあるでしょう。

解決策

ガバナンス体制を整備するためには、責任者や担当者を明確化し、セキュリティポリシーの策定が大切です。定期的なレビューや訓練も取り入れて、体制強化を図ることが望ましいです。適切なツール選定とガバナンス体制の整備によって、高い安全性と効率性の両立が期待できます。

まとめ

ASMは企業のサイバーセキュリティ対策として効果的な手法です。適切なツール選定とガバナンス体制の整備によって、安全性と効率性の両立が可能となります。企業規模や業界の特性に応じた、柔軟な導入計画を立てることで、効果を最大限に引き出せる可能性が高くなるでしょう。

しかし、導入にはさまざまな課題があります。

• 複雑化する攻撃手法への対応
• コストと効果のバランス
• 継続的監視のリソース不足
• IT資産の管理不足
• ガバナンス体制の不備

上記でお伝えしてきた解決策を参考に、自社に最適なASM運用体制の構築を目指してみてください。