ASMとは
ASM(Attack Surface Management)は、攻撃者の視点から自組織のインターネット上に公開されている資産を継続的に発見・評価・管理するプロセスです。「外から見て、自社のどこが攻撃対象になり得るか」を把握し、リスクを低減します。
経済産業省は2023年5月に「ASM(Attack Surface Management)導入ガイダンス」を公開しており、企業のセキュリティ対策としてASMの導入を推奨しています。
なぜ中小企業にASMが必要か
- 把握していない公開資産:忘れられたテスト環境、退職者が構築した旧Webサイト、放置されたVPN装置
- サプライチェーン攻撃の入口:攻撃者はサプライチェーンの中でセキュリティが弱い企業を狙う
- クラウド利用の拡大:シャドーITとして利用されているクラウドサービスのアカウント
- VPN・RDP装置の脆弱性:パッチ未適用のVPN装置やRDPが公開されたままの事例が多発
管理すべき攻撃対象領域
| 攻撃対象 | 具体例 | リスク |
|---|---|---|
| Webサイト・Webアプリ | 公式サイト、管理画面、API | 脆弱性の悪用、情報漏洩 |
| メールサーバー | MXレコードで公開されたサーバー | SPF/DKIM/DMARC未設定によるなりすまし |
| VPN/リモートアクセス装置 | FortiGate、Palo Alto等 | 脆弱性を突いた侵入(実際の攻撃事例多数) |
| クラウドサービス | Azure、AWS、SaaS | 設定ミスによるデータ公開 |
| DNSレコード | 放置されたサブドメイン | サブドメインテイクオーバー |
ASMツール・サービス
| ツール | 概要 | 費用 |
|---|---|---|
| Shodan | インターネットに接続されたデバイスの検索エンジン | 無料〜 |
| Censys | インターネット上のホスト・サービスのスキャン | 無料〜 |
| Microsoft Defender EASM | Microsoftが提供するASMサービス | 有料 |
| OSINT系ツール | SSL証明書の透過性ログ(crt.sh)、DNS情報の調査 | 無料 |
SCS評価制度との関係
SCS評価制度の★3・★4では「リスクの特定」として資産管理や脆弱性の把握が求められます。ASMは外部公開資産の把握という観点で、これらの要求事項の実現手段のひとつです。
まとめ
ASMは「攻撃者の目線で自社のインターネット上の弱点を把握する」プロセスです。忘れられたVPN装置や放置されたサブドメインが攻撃の入口になる前に、定期的な外部公開資産の棚卸しを行いましょう。