Attack Surface Management (ASM) とは
ASM とは、組織の IT 資産が外部にどのように露出しているかを継続的に可視化・監視するプロセス/ツール群を指す。 ポイントは「攻撃者の視点」で資産を棚卸しして管理する。
攻撃対象領域(Attack Surface)
- インターネットに露出しているサーバー、Web アプリ、クラウドサービス、API、モバイルアプリなど。
ASM の役割
- それらの資産を自動的に発見し、脆弱性や設定不備を検知する。
従来の脆弱性管理との違い
- 従来: 内部で把握している資産を対象にスキャンする
- ASM: 把握していない「影の IT(Shadow IT)」や意図せず公開された資産も含めて発見する
ASM のプロセス
ASM を利用した脆弱性管理は、大きく以下の流れになる。
(1) 資産の自動発見
- ドメイン、IP アドレス範囲、クラウド環境から公開資産を継続的に探索
- サブドメイン、API エンドポイント、未認証サービス(例:公開 SMB、RDP など)も対象
(2) 資産の分類・リスク評価
- 見つかった資産を 重要度・用途ごとに分類
- 「本番環境か」「開発環境か」「放置された古い資産か」などを仕分け
(3) 脆弱性の検知
- 発見した資産に対し、自動スキャンや手動診断を実施
- 例:ソフトウェアの既知の CVE、TLS/SSL 設定不備、不要なポート開放、脆弱な API 認証
(4) 優先順位付け
- 全てを一度に修正するのは難しいため、ビジネス影響度 × 脆弱性の深刻度 × 攻撃可能性 で優先度をつける
(5) 修正と検証
- パッチ適用、設定変更、不要資産の削除などを実施
- 修正後に再スキャンして改善を確認
(6) 継続的モニタリング
- 攻撃対象領域は常に変化するため、継続的に監視・アラート を行う
- 新しいサブドメインやクラウドリソースが公開された場合、即座に検知
ASM がもたらすメリット
- 見落とし防止
- 従来の CMDB(構成管理DB)や資産台帳に載っていない「影の IT」を検知可能。
- 攻撃者視点での脆弱性管理
- 実際に攻撃者が見ているのと同じ視点で資産を棚卸しできる。
- リスクの優先順位付け
- 膨大な脆弱性を「どこから直すべきか」を整理できる。
- ゼロデイや露出資産への早期対応
- 公開されたばかりのサーバーやサービスをすぐに把握し、セキュリティギャップを最小化。
ASM を活用した脆弱性管理の実例
- クラウド環境
- AWS S3 バケットが「公開状態」で放置されている → ASM が検知 → アラート → 非公開化
- 古い Web サービス
- 社内で誰も把握していなかったサブドメイン上の WordPress が放置されている → CVE スキャンで脆弱性発覚 → 廃止
- API 管理
- モバイルアプリ向けに公開された API エンドポイントが認証なしで利用可能 → 検知 → アクセス制御導入
主なツール/サービス
- 商用
- Microsoft Defender EASM, Palo Alto Cortex Xpanse, Randori, Cycognito など
- OSS / 自前
- Amass, Subfinder, Nmap, Shodan などを組み合わせて自作 ASM 基盤を構築する例も多い
まとめ
ASM は、「知らない資産」や「意図せず公開された資産」を洗い出し → 脆弱性を検知 → 優先順位をつけて修正 → 継続監視 することで、従来型の脆弱性管理を補完・強化する。 特にクラウド利用が広がる現代では、資産の棚卸しが不完全な組織ほど ASM の価値が高い と言える。