「自社で公開しとる Web サーバが何台あるか即答できる情シスは少ない」――これが ASM(Attack Surface Management)が必要になる出発点。 M&A、クラウド乱立、退職連鎖、サブドメイン放置、期限切れ証明書、誰のものか分からん DNS レコード。中堅 300-3,000 名規模で外部公開資産は確実に増殖する。本記事は ASM の本質、EASM と CAASM の違い、主要ツール 5 製品比較、月 5 万円から始める Phase 0-3 段階導入、選定 5 基準を 2026 年版で整理する。

CISA(米サイバーセキュリティ・社会基盤安全保障庁)が 2025 年に公表した「Reducing the Significant Risk of Known Exploited Vulnerabilities」関連レポートでも、組織が把握していない外部公開資産が初期侵入経路の上位を占めると指摘されている。Gartner も 2024 年の Hype Cycle で EASM を "Slope of Enlightenment" 領域に位置づけ、中堅以上の企業で導入が現実的なフェーズに入ったと評価した。

目次

  1. ASM とは何か:継続棚卸しという発想
  2. EASM と CAASM の違い
  3. なぜ中堅 300-3,000 名で必要か
  4. 主要 ASM ツール 5 製品比較
  5. 月 5 万円から始める Phase 0-3 段階導入
  6. 導入時の注意点
  7. 中堅向け ASM 選定 5 基準
  8. よくある質問(FAQ)
  9. 関連記事
  10. 参考資料

ASM とは何か:継続棚卸しという発想

ASM(Attack Surface Management)は、攻撃者の視点から自社の外部公開資産を「継続的に発見・棚卸し・評価」する運用とツール群を指す。脆弱性診断やペネトレーションテストとの最大の違いは、対象を企業側が事前に申告するのではなく、ツール側がインターネット全体をスキャンして「あなたの資産っぽいもの」を勝手に発見する点にある。

ASM が継続棚卸しする 6 種類の外部資産

資産種別具体例放置時のリスク
DNS レコードA / CNAME / MX / TXT / SPF / DKIMサブドメインテイクオーバー、メール詐称
IP アドレスIPv4 / IPv6 / クラウド NAT IP不要ポート公開、廃止サーバ残存
サブドメインdev.example.co.jp / staging.example.co.jp開発環境本番アクセス、認証なし管理画面
TLS / SSL 証明書Let's Encrypt / DigiCert / CloudFlare期限切れ、CT ログから資産推定
クラウドリソースAWS S3 / Azure Blob / GCS バケット公開設定、機密データ漏洩
アカウント / 認証退職者 SaaS / OAuth トークン / API キー不正ログイン、横展開
「年 1 回の脆弱性診断では捉えきれない、日々生まれては消える資産の動き」を前提にしているのが ASM の本質だ。

従来手法との違い

EASM と CAASM の違い

ASM は実装範囲によって 2 つに分かれる。中堅企業の最初の選択肢は EASM からが現実的だ。

観点EASM (External ASM)CAASM (Cyber Asset ASM)
視点外部(攻撃者の見え方)内部(情シスの見え方)
データソースパブリック DNS / CT ログ / ポートスキャンEDR / MDM / クラウド API / SSO / CMDB
エージェント不要一部必要(既存ツール連携)
主な発見対象未把握ドメイン・IP・証明書端末・クラウド VM・SaaS アカウント
導入難易度低(ドメイン入力で開始)中〜高(既存システム連携設計)
価格レンジ(中堅)月 5-30 万円月 30-150 万円
代表製品Cortex Xpanse / Defender EASM / Mandiant ASMJupiterOne / Axonius / runZero
中堅 300-3,000 名で「まず ASM を始めたい」という相談の場合、月 5-30 万円帯の EASM 単体から開始し、運用が回り始めた段階で CAASM や SIEM/SOC 連携を検討するのが現実的なロードマップだ。

なぜ中堅 300-3,000 名で必要か

増殖要因 1:M&A と子会社統合

中堅企業は買収・合併で旧子会社のドメイン・IP 帯・クラウドアカウントを引き継ぐ。把握しきれず「数年前に買収した子会社の Web サイトが脆弱なまま放置されとる」状態は珍しくない。

増殖要因 2:クラウド乱立

オンプレミス時代と違い、AWS / Azure / GCP / Cloudflare / Vercel / Netlify を部門ごとに契約しているケースが多い。各クラウドで生成されるパブリック IP / バケット / FQDN は経理伝票だけでは追えない。

増殖要因 3:退職連鎖

退職者の SaaS アカウント・API キー・SSH 公開鍵・OAuth トークンが残存しがち。300 名超になると毎月 5-15 名の入退社が発生し、人事・情シス・各部門の 3 者連携が崩れた瞬間に穴が空く。

増殖要因 4:法令対応とサプライチェーン要請

経済安全保障推進法、改正個人情報保護法、業界ガイドライン(FISC / 医療 3 ガイドライン / 自動車サプライチェーン)で「自社の管理する情報システムの全容把握」が要求される。取引先からも「外部公開資産一覧」「シャドー IT 対応状況」を SAQ 形式で求められる場面が増えた。

中堅特有の費用対効果

主要 ASM ツール 5 製品比較

中堅向けに導入実績がある主要 5 製品を比較する。価格は公表価格・代理店参考価格・公開事例から推定したレンジ。

製品提供元カバレッジ棚卸し精度API / 統合価格レンジ(中堅)SOC 連携
CrowdStrike Falcon SurfaceCrowdStrikeEASM 中心、グローバル DNS / CT ログ強い高(誤検知少)Falcon プラットフォーム統合、REST API月 15-40 万円Falcon LogScale / SIEM
Palo Alto Cortex XpansePalo Alto NetworksEASM パイオニア、IP 中心の検出に強み高(自動帰属判定)XSOAR / XSIAM 統合、REST API月 20-60 万円Cortex XSOAR
Microsoft Defender EASMMicrosoftEASM、Defender XDR と統合可能中〜高(M365 利用企業で有利)Sentinel / Defender XDR、Azure API月 5-15 万円Microsoft Sentinel
Mandiant Attack Surface ManagementGoogle CloudEASM、脅威インテリ統合が強い高(脅威ベース優先順位)Google SecOps、REST API月 20-50 万円Google SecOps(旧 Chronicle)
SecureNaviSecureNavi 株式会社(国産)ISMS / Pマーク管理+資産棚卸し補助中(CAASM 寄り、運用支援強い)API は限定、人的支援併用月 3-15 万円国内 MSP との連携実績

製品選定の典型パターン

  • Microsoft 365 / Azure 中心 → Defender EASM が運用負荷最小、月 5-15 万円から開始可能
  • EDR で CrowdStrike 既導入 → Falcon Surface 追加で統合管理
  • Palo Alto NGFW / XSOAR 既導入 → Cortex Xpanse でログ・対応一気通貫
  • 脅威インテリ重視 / 大手金融・製造 → Mandiant ASM
  • ISMS / Pマーク運用工数も削減したい国産志向 → SecureNavi

月 5 万円から始める Phase 0-3 段階導入

中堅 300-3,000 名で ASM を 0 から始める場合、いきなり高額製品を契約せず段階的に予算を上げていくのが現実的だ。

Phase 0:手動棚卸し(0 円〜10 万円 / 一過性)

ここで「自社が何を公開しとるか」のベースラインを作る。Phase 1 以降のツール導入時、ツールの検出結果と自分の棚卸し結果を突合できる。

Phase 1:EASM PoC 導入(月 5-15 万円 / 3-6 ヶ月)

Phase 2:自動化と運用フロー(月 10-30 万円 / 継続)

Phase 3:SOC / SIEM 統合(月 30-100 万円 / 継続)

導入時の注意点

注意点 1:誤検知(False Positive)への耐性

EASM は「インターネット側から見て自社っぽい資産」を発見するため、初期段階では同名企業・代理店保有・旧契約終了済みドメインなどが混入する。最初の 1-3 ヶ月は 誤検知の除外作業("自社ではない" マーキング)に週 2-5 時間 が必要。これを見込まずに導入すると「ツールが信用できない」と評価されて運用停止する。

注意点 2:部門越境の合意形成

ASM が発見した「未把握資産」の多くは、実際にはある部門が業務上必要で立てたサーバ・SaaS。情シスが「停止しろ」と一方的に言うと現場の反発を招く。導入前に「発見 → 部門ヒアリング → リスク評価 → 残す/移行/停止 の意思決定」というプロセスを設計しておく。

注意点 3:外注運用 vs 内製の判断軸

項目内製外注(MSSP)
月額コストツール代のみ(5-30 万円)ツール代 + 運用費(30-100 万円)
必要工数0.5-1 人 / 月0.1-0.3 人 / 月(窓口対応のみ)
立ち上げ期間3-6 ヶ月1-2 ヶ月
ナレッジ蓄積自社内MSSP 側
推奨規模1,000 名以上 / 情シス 5 名以上300-1,000 名 / 情シス 1-3 名
中堅で情シス 1-3 名の場合、Phase 1-2 は MSSP 併用、Phase 3 で内製比率を上げる移行型が現実的だ。

注意点 4:CT ログによる「公開してしまう」リスク

EASM ツールは Certificate Transparency ログをスキャンする。逆に言えば、自社が新規に発行した SSL/TLS 証明書はすべて CT ログに公開され、攻撃者も同じ手段で発見可能。「未公開のはずの開発環境ドメイン」を新規証明書で公開した瞬間、CT ログ経由で攻撃者にも見える。これを前提に、開発環境はワイルドカード証明書 + 内部 DNS or VPN 限定にする運用が望ましい。

中堅向け ASM 選定 5 基準

基準 1:カバレッジ(自社規模に対する検出網羅性)

中堅で必要なカバレッジ:

  • ドメイン / サブドメイン:パブリック DNS + CT ログ + パッシブ DNS
  • IP:IPv4 / IPv6 / 主要クラウドの NAT / IGW
  • クラウド:AWS / Azure / GCP / Cloudflare / Akamai 公開リソース
  • 認証:SSO 統合済み SaaS の退職者アカウント追跡

基準 2:棚卸し精度(誤検知率と帰属判定)

「自社の資産であると判定する根拠」が説明可能か。CrowdStrike / Cortex Xpanse は WHOIS / DNS / 証明書チェーンから自動帰属判定する精度が高い。Defender EASM は M365 テナント情報を使って精度を上げる。

基準 3:API と既存システム統合

REST API / Webhook で既存の SIEM / ITSM / Slack / Teams と連携できるか。スプレッドシート手作業で運用すると 6 ヶ月以内に確実に形骸化する。

基準 4:価格と契約形態(資産数 vs シート vs 売上ベース)

ASM は資産数(IP 数 / ドメイン数)課金、企業規模課金(売上ベース)、シート数課金など契約形態が分散している。中堅では資産数課金が予算化しやすい。3 年契約で 20-30% 割引のオファーが多い。

基準 5:SOC / SIEM 連携と国内サポート

将来 Phase 3 まで進めるなら、自社が将来選ぶ SIEM / SOC ベンダーと統合実績があるかを最初から確認する。海外製品の場合、日本語ドキュメント・国内代理店サポートの有無も重要。

よくある質問(FAQ)

Q1. 既に脆弱性診断を年 1 回受けています。ASM は重複しませんか?

重複しない。脆弱性診断は「申告した資産」の脆弱性を深掘り評価する。ASM は「申告漏れ資産」を発見する。むしろ ASM で発見された未把握資産を、翌期の脆弱性診断対象に追加する流れが理想だ。

Q2. ASM ツール導入で従来のセキュリティチームの工数は減りますか?

短期的には増える(誤検知除外 + 部門ヒアリング)。中期的(6 ヶ月以降)には、年 1 回の手動棚卸しが不要になり、新規資産発見が即時化されるため、トータル工数は同等〜微減。むしろ「漏れがあったかも分からん不安」を解消する効果が大きい。

Q3. 中堅 500 名で本当に月 5 万円から始められますか?

Microsoft Defender EASM の中堅向けプラン、または SecureNavi のスタータープランで月 5-10 万円帯から開始可能。ただし誤検知除外と運用設計の工数として情シス 0.3-0.5 人月を別途見込む必要がある。

Q4. EASM と SOC 外注は同時に導入すべきですか?

同時導入は推奨しない。Phase 1-2 で EASM の運用が安定(既知資産カバレッジ 95% 以上 / 誤検知率 10% 以下)してから、Phase 3 で SOC 連携・外注を検討する順序が現実的。

Q5. クラウド(AWS / Azure)標準のセキュリティ機能で代替できませんか?

部分的に代替可能。AWS Security Hub / Azure Defender for Cloud は自社契約クラウド内のリソースを可視化する。一方、ASM は「自社が忘れてる旧クラウドアカウント」「子会社や代理店が立てたクラウド」「クラウド外の資産(オンプレ DMZ / SaaS)」を検出する。両者は補完関係。

Q6. シャドー IT 対策との違いは?

シャドー IT 対策は「従業員が無断で使う SaaS / 端末」が対象(CASB / MDM 領域)。ASM は「会社として公開してる資産で把握漏れがあるもの」が対象。シャドー IT 対策と ASM は別領域だが、結果として「未把握 SaaS のドメイン / 証明書」が ASM で発見されることもある。シャドー IT 対策の詳細は別記事で整理している。

Q7. 個人情報保護法・経済安全保障推進法対応に ASM は必要ですか?

法令上「ASM 導入義務」は明記されていない。ただし両法とも「管理する情報システムの全容把握」「適切な安全管理措置」を要求しており、外部公開資産の継続棚卸しは事実上の必要条件。監督官庁・取引先からの SAQ で「外部公開資産の管理状況」を問われる場面が増えており、ASM 導入は説明責任の観点で有効。

Q8. 中堅で内製 SOC を持っていない場合、ASM のアラートは誰が一次受けすべきですか?

情シス(兼任セキュリティ担当)が一次受け、リスク高アラートのみ MSSP / IR ベンダーへエスカレーション、という運用が現実的。アラートのトリアージ基準(CVSS / 業務影響 / 公開度)を導入時に設計しておく。

まずは無料で外部公開資産の見える化を試す

ASM 導入の最初の壁は「自社にどれだけ未把握資産があるか分からない」点だ。GXO では中堅 300-3,000 名向けに、自社ドメインを入力するだけで外部公開資産の概況をレポートする無料診断を提供している。所要時間 10 分(メール入力のみ、面談不要)。

外部攻撃面 無料診断(10 分・メールのみ)→

診断結果サンプル:

  • 検出された関連ドメイン / サブドメイン数
  • 検出された外部 IP / 開放ポート上位
  • 期限切れ / 期限間近の TLS 証明書
  • CT ログから推定される未公開のはずの開発環境
  • 主要 ASM ツール導入時の予算レンジ目安

関連記事

ASM 導入の個別相談(中堅 300-3,000 名向け)

「自社規模でどの製品が現実的か」「Phase 1 PoC をどう設計すべきか」「既存 EDR / SIEM とどう統合するか」といった個別の論点は、現状の資産規模・既存契約・予算によって変わる。GXO では中堅企業の情シス・セキュリティ責任者向けに、ASM 導入設計の無料相談(30 分・オンライン)を提供している。

ASM 導入 無料相談に申し込む →

相談で扱える論点:

  • 自社規模に対する適正製品(5 製品比較)
  • Phase 0-3 の予算配分とスケジュール
  • 既存 EDR / SIEM / MSSP との統合設計
  • 内製 vs 外注の切り分け
  • 法令対応(個人情報保護法 / 経済安全保障推進法 / 業界ガイドライン)の文脈整理

参考資料

  • CISA, "Reducing the Significant Risk of Known Exploited Vulnerabilities"(2024-2025)
  • NIST SP 800-53 Rev.5 / SP 800-171 Rev.3(資産管理 / CM-8 系コントロール)
  • JPCERT/CC「インシデント報告対応レポート」(外部公開資産起点の侵入事例集計)
  • Gartner, "Hype Cycle for Security Operations" / "Magic Quadrant for External Attack Surface Management"
  • IPA「情報セキュリティ 10 大脅威 2026」
  • Microsoft「Defender External Attack Surface Management ドキュメント」
  • CrowdStrike「Falcon Surface 製品ドキュメント」
  • Palo Alto Networks「Cortex Xpanse データシート」
  • Mandiant「Attack Surface Management 製品ドキュメント」
  • 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」