攻撃対象面管理（ASM）とは？仕組み・対策・事例をわかりやすく解説

📖

Overview

攻撃対象面管理（Attack Surface Management / ASM）とは、組織がインターネット上に公開しているすべてのデジタル資産（サーバー、ドメイン、API、クラウドサービス等）を継続的に発見・把握・評価し、攻撃者に悪用されるリスクを低減するためのセキュリティ管理手法です。攻撃者の視点から外部公開資産を可視化することで、組織が認識していない「シャドーIT」や設定ミスのあるリソースを特定します。

クラウド移行やリモートワークの普及、M&Aによるシステム統合により、組織の攻撃対象面は急速に拡大しています。EASM（External Attack Surface Management）は特に外部公開資産に焦点を当て、攻撃者と同様の手法でインターネット上からアクセス可能な資産を網羅的にスキャンします。従来の資産管理台帳ベースのアプローチでは把握しきれない「未知の資産」を発見することが、ASMの最大の価値です。

経済産業省は2023年に「ASM（Attack Surface Management）導入ガイダンス」を公表し、日本国内でもASMの導入が加速しています。ASMは単なるツール導入にとどまらず、資産発見・リスク評価・優先度付け・対応・継続的監視という一連のプロセスとして運用することが重要です。組織の脆弱性管理プログラムにASMを統合することで、攻撃者よりも先にリスクを発見し対処する態勢を構築できます。

🔬

Details

攻撃対象面（Attack Surface）の定義

攻撃対象面とは、攻撃者が不正アクセスやデータ窃取のために悪用できる潜在的なエントリポイントの総体を指します。これには、公開Webサーバー、メールサーバー、VPNゲートウェイ、API、DNS設定、SSL/TLS証明書、クラウドストレージ、IoTデバイス、さらにはソーシャルメディアアカウントや従業員の個人情報まで含まれます。

攻撃対象面は外部（External）・内部（Internal）・物理（Physical）・ソーシャル（Social）の4つに分類されます。ASMは主に外部攻撃対象面を対象としますが、包括的なセキュリティ管理にはすべての面を考慮する必要があります。

EASM（外部攻撃対象面管理）の仕組み

EASMソリューションは、組織に関連するドメイン名、IPアドレス範囲、証明書情報などの初期シード情報から出発し、DNS列挙、証明書透過性ログの分析、WHOIS情報の調査、ポートスキャンなどの手法を組み合わせて、関連する資産を自動的に発見します。

発見された資産に対しては、使用しているソフトウェアのバージョン、公開されているサービス、SSL/TLS設定の状態、既知の脆弱性の有無などを評価し、リスクスコアを算出します。この一連のプロセスを継続的かつ自動的に実行することで、新たに公開された資産や設定変更をリアルタイムに検知します。

シャドーITと未管理資産の発見

ASMが特に効果を発揮するのが、シャドーIT（IT部門が把握していないシステムやサービス）の発見です。事業部門が独自に契約したSaaSサービス、開発者がテスト用に立ち上げたクラウドインスタンス、過去のプロジェクトで作成され放置されたサブドメインなどが典型的な例です。

これらの未管理資産は、パッチ適用やセキュリティ設定の管理対象から漏れているため、攻撃者にとって格好の侵入口となります。実際に、多くのセキュリティインシデントが未管理資産を起点としています。

リスクスコアリングと優先順位付け

ASMソリューションでは、発見された資産のリスクを定量的に評価し、対応の優先順位を決定します。リスクスコアの算出には、脆弱性の深刻度（CVSSスコア）、資産の重要度、攻撃の容易さ、公開されている情報の量、過去の悪用実績などが考慮されます。

膨大な数の資産すべてに同時に対応することは現実的ではないため、リスクベースの優先順位付けにより、限られたリソースを最も効果的に配分することが重要です。

ASMとCSPM・脆弱性管理の統合

ASMは単独で運用するよりも、CSPM（Cloud Security Posture Management）や脆弱性管理プログラムと統合することで、より大きな効果を発揮します。ASMが外部からの視点で資産を発見し、CSPMがクラウド環境の内部設定を検証し、脆弱性スキャナーが詳細な脆弱性診断を実施するという多層的なアプローチにより、攻撃対象面を包括的に管理できます。

🛡️

Security Measures

01
外部公開資産の継続的な可視化：EASMツールを導入し、自組織に関連するすべてのドメイン、IPアドレス、クラウドリソース、APIエンドポイントを継続的にスキャン・可視化してください。資産台帳と突合し、未管理資産を特定する運用プロセスを確立しましょう。
02
不要な公開資産の削減：テスト環境、開発用サーバー、旧バージョンのAPI、使用されていないサブドメインなど、不要な公開資産を定期的に棚卸しし、速やかに廃止または非公開化してください。攻撃対象面の縮小は最も効果的な防御策です。
03
リスクベースの優先順位付け：発見された資産のリスクを、脆弱性の深刻度・資産の重要度・攻撃の容易さに基づいて定量的にスコアリングし、対応の優先順位を決定してください。限られたリソースを最もリスクの高い資産に集中させることが重要です。
04
M&A・組織変更時のASM統合：企業買収や組織統合の際には、統合対象のIT資産をASMでスキャンし、継承する攻撃対象面を事前に把握してください。買収先企業の未管理資産やセキュリティ上の問題を早期に特定できます。
05
サプライチェーンの攻撃対象面監視：自組織だけでなく、主要な取引先・委託先の外部公開資産もASMの監視対象に含めてください。サプライチェーン経由の攻撃リスクを把握し、取引先のセキュリティ評価に活用しましょう。
06
ASMと脆弱性管理の統合運用：ASMで発見されたリスクを脆弱性管理プログラムにフィードバックし、パッチ適用・設定変更の対応フローに組み込んでください。CSPMとも連携させ、外部・内部の両面から攻撃対象面を管理する体制を構築しましょう。

⚠️

Incidents

📋 大手製造業における放置されたVPN装置からの侵入（2023年）

2023年、国内大手製造業において、海外子会社が過去に設置し管理台帳から漏れていたVPN装置の既知脆弱性を攻撃者に悪用され、社内ネットワークに侵入される事案が発生しました。該当のVPN装置はファームウェアの更新が2年以上行われておらず、公開済みのエクスプロイトが使用されました。

この事案を契機に同社はEASMソリューションを導入し、グローバルでの外部公開資産の棚卸しを実施したところ、同様の未管理資産が複数発見されました。ASMの導入により、資産台帳ベースの管理では把握できなかったリスクが可視化されました。

📋 クラウドストレージの設定ミスによる顧客データ漏洩（2022年）

2022年、あるSaaS企業において、開発者がデバッグ用に作成したAmazon S3バケットがパブリックアクセス可能な状態で放置されており、顧客の個人情報を含むログデータが外部から閲覧可能な状態になっていたことが発覚しました。セキュリティ研究者がASMツールを用いたスキャンで発見し、責任ある開示を通じて報告しました。

この事案では、IT部門が把握していないクラウドリソース（シャドーIT）が情報漏洩の原因となりました。ASMによる継続的な監視があれば、バケットの作成直後に検知し、被害を未然に防げた可能性がありました。

📋 M&A後の未統合システムを起点としたランサムウェア被害（2024年）

2024年、ある企業グループにおいて、1年前に買収した子会社のレガシーWebアプリケーションの脆弱性を起点としてランサムウェア攻撃を受けました。買収時のIT資産デューデリジェンスが不十分で、該当システムの存在が親会社のIT部門に認識されていませんでした。

攻撃者は子会社のWebアプリケーションからネットワーク内に侵入し、VPN接続を経由して親会社の基幹システムにまでランサムウェアを展開しました。この事案はM&A時のASM実施の重要性を示す典型例であり、買収前のIT資産スキャンとリスク評価が不可欠であることを業界に警鐘を鳴らしました。

🔗