アタックサーフェスマネジメント(ASM)とは 専門家が解説

アタックサーフェスマネジメント(ASM)とは 専門家が解説

内閣官房内閣サイバーセキュリティセンター(NISC)は、2024年7月19日に「横断的アタックサーフェスマネジメント(ASM)事業の運用開始に係るプレスリリース」を発出し、各府省庁、独立行政法人・指定法人の情報システムを対象に、システムの脆弱性等を調査・是正する横断的アタックサーフェスマネジメント事業を令和 6 年 7 月 22 日以降、順次開始すると発表しました。

NISCプレスリリース

NISCの発表によれば、本事業は、「令和 4 年 12 月 16 日に策定された「国家安全保障戦略」において、サイバー安全保障分野での対応能力を向上させるため、「政府機関のシステムを常時評価し、政府機関等の脅威対策やシステムの脆弱性等を随時是正するための仕組みを構築する」こととされていることを受けて実施するものであり、政府機関等のシステムを常時評価し、セキュリティ対策を随時是正するための事業」とされます。

しかし、今回のプレスリリースで使用されているアタックサーフェスマネジメント(Attack Surface Management)(以下、「ASM」と略)というIT 用語は、セキュリィティソフトに詳しい方を除いては、一般的な用語とは言い難く、今回初めて聞いたという方もおられるのではないでしょうか。そこで、本日はASMの概要について簡単に説明していきます。

1. ASM(アタックサーフェスマネジメント)とはASMの概要

上記NISCのプレスリリース内では、ASM(アタックサーフェスマネジメント)とは

「組織の外部(インターネット)に公開されているサーバやネットワーク機器等の IT 資産の情報を収集・分析し、存在する脆弱性等のリスクを継続的に検出・評価するとともに、それらに基づき、脅威対策やシステムの脆弱性等を是正する一連のプロセスです。」と説明されています。

少しわかりづらいですね。

そこで、そもそもアタックサーフェスとは何か、という点から話をします。

アタックサーフェスとは攻撃対象領域とも呼ばれ、攻撃者の視点からサイバー攻撃が行われる可能性があるデジタル資産やサービス、環境を指します。

具体的には、クライアント端末、モバイル端末、IoTデバイス、サーバ、VPN機器といったネットワーク機器などに加えて、ソフトウェア、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。
※ 詳しい定義等はアメリカ国立標準技術研究所(NIST)が出すこちらの文書を確認してください。

従来の対策では、侵入経路/入口防御の観点から外部公開されているアタックサーフェスのみが重視されがちでしたが、ビジネス環境の変化やサイバー攻撃の高度化により、攻撃者の組織内への侵入を前提とした対策が当然になっています。

このため、米国の定義では外部公開されているデジタル資産だけでなく、攻撃者に悪用されうる内部のデジタル資産をすべて含めています。

しかしながら、米国と日本ではやや概念が異なり、日本の場合は、まず優先すべき領域として外部公開された領域を焦点とするように定義付されています。このあたり、同じ言葉でも日米でやや捉え方が違うという点は、海外とのビジネスを行う場合には注意が必要な点ですね。

2. ASM のプロセス

実は、経済産業省は昨年5月に「ASM (Attack Surface Management)導⼊ガイダンス ー外部から把握出来る情報を⽤いて⾃組織の IT 資産を発⾒し管理する」という文書(以下、「経産省ガイダンス」という。)を公表しています。この中で、ASMのプロセスについて詳細に解説しており、

まず、ASMは、主に「①攻撃⾯の発⾒」「②攻撃⾯の情報収集」「③攻撃⾯のリスク評価」 の 3 つのプロセスで構成されるとしています。

ASM のプロセス

ASM のプロセス

① 攻撃⾯の発⾒

はじめに、自らの組織が保有または管理し、外部(インターネット)からアクセス可能 な IT 資産を発⾒することから始めます。このプロセスにおけるアウトプットは、インターネットから確認できる自組織の IP アドレス・ホスト名のリスト等が該当します。具体的には、自らが管理者となっているドメイン名を公開しているWeb サイトを確認、あるいは WHOIS等を使用して特定し、その特定したドメイン名に対して、DNS による検索や、ツールなどを活⽤して IP アドレス・ホスト名の⼀覧を取得する等が考えられます。

② 攻撃⾯の情報収集

次の段階では、①で発⾒した IT 資産の情報を収集します。具体的には、攻撃⾯を構成する個々の IT資産が持つ OS、ソフトウェア、ソフトウェアのバージョン、 オープンなポート番号などの情報です。⼀般的にこのプロセスは、調査対象に影響を及ぼさないよう、Web ページの表⽰など通常のアクセスの範囲で⾏われます。

③ 攻撃⾯のリスク評価

最後に②で収集した情報をもとに攻撃⾯のリスクを評価します。⼀般的には、公開されて いる既知の脆弱性情報と、②で収集した情報を突合し、脆弱性が存在する可能性を識別します。 経産省ガイダンスでは、ASMのプロセスはリスク評価までで終わっており、評価したリスクへの対応についてはプロセスには含めていません。しかしながら、ASM導入の目的である⾃社のセキュリティリスクを減らすという観点からは、当然評価後したリスクへの対応を検討すべきであると、経産省ガイダンスも述べています。

3. ASM と脆弱性診断の違い

4. ASM(アタックサーフェスマネジメント)導入のメリットとデメリット

ASM(アタックサーフェスマネジメント)導入のメリットとデメリットは以下になります。

ASM(アタックサーフェスマネジメント)導入のメリット

ASM の最大の特性は、攻撃者視点での脆弱性の発見が可能という点です。これにより、従来の脆弱性診断等では発見できなかった弱点を発見し、実際にサイバー攻撃を受けて被害が発⽣する前に IT 資産の課題に気づくことができる可能があります。更にOSINTや脅威インテリジェンスと組み合わせることで、より現実的な脅威に即した効率的なセキュリィテを実現できる可能性があります。

ASM(アタックサーフェスマネジメント)導入のデメリット


一方で、デメリットですが、真っ先に考えられるのがコストの問題です。ASMでは一般に専用ツールの使用や外部サービスの利用が不可欠とされます。これらに要するコストは自社の規模やサービス内容により変化するため一概には言えませんが、リスクと照らし合わせ、導入効果がコストに見合うものかどうかを慎重に判断することが必要と考えられます。また、実際にASMを運用するにあたっては、運用側に一定のセキュリテイレベルが必要であり、単純に導入すればすぐに効果が発揮できるものではない、ということもデメリットの一つとして挙げられます。

5. まとめ

本日はASMについて解説いたしました。ASMは、ASM導入のデメリットでも触れましたが、導入効果を期待するにあたってはすでに一定のセキュリテイに関する基盤が整っていることが必要であり、従来の手法と組み合わせて使用することで効果を発揮するものであると言えます。その観点では、やや上級者向けの手法であるということが言えるかと思います。従いまして、導入にあたっては、組織の特性や状況を踏まえ、導入の必要性や費用対効果をしっかりと見積もることが望ましいのでは、と思います。

TOPへ