アタックサーフェス管理とは?経産省ガイダンスに学ぶ導入法
サイバー攻撃の手法が高度化するなか、「自社のどこが狙われているのか把握できていない」という声が中小企業から多く聞かれます。本記事では、経済産業省が公開した「ASM導入ガイダンス」を踏まえ、アタックサーフェス管理(ASM)の基礎知識から中小企業での導入方法まで解説します。IT資産の可視化から脆弱性の優先順位付けまで、実践で使える具体的なアクションをお伝えします。
この記事でわかること
ASMとは「外部から見えるIT資産」を継続的に把握・管理する取り組みである
導入の第一歩はドメインとクラウド資産の可視化から始める
リスクはCVSS(脆弱性の深刻度)と事業影響度で優先順位を付ける
限られたリソースの中小企業こそASMで「選択と集中」が重要になる
アタックサーフェス管理(ASM)とは何か
アタックサーフェス管理(Attack Surface Management、以下ASM)とは、外部からアクセス可能なIT資産を継続的に発見・監視し、脆弱性やリスクを管理する取り組みを指します。外部公開資産の把握とシャドーITの発見が、ASMの中核となる活動です。
経済産業省が2023年5月に公開した「ASM(Attack Surface Management)導入ガイダンス」(https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)では、ASMを「組織の外部(インターネット)からアクセス可能なIT資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」と定義しています。
従来のセキュリティ対策は、ファイアウォールやウイルス対策ソフトなど「守る」ことに重点が置かれてきました。しかし、クラウドサービスの普及やリモートワークの拡大により、企業のIT資産は社内ネットワークの外側にも広がっています。自社が管理しているつもりのないサーバーや、忘れられたテスト環境、退職者が残したアカウントなど、攻撃者から見える「攻撃対象領域」は想像以上に広がっていると考えられます。
独立行政法人情報処理推進機構(IPA)の「情報セキュリティ10大脅威 2024」(https://www.ipa.go.jp/security/10threats/10threats2024.html)によると、「ランサムウェアによる被害」が4年連続で組織向け脅威の1位となっています。攻撃者はまず外部から見えるIT資産の脆弱性を探し、そこを突破口として侵入を試みます。つまり、自社のアタックサーフェスを把握していなければ、どこから攻撃されるかわからない状態でセキュリティ対策を行っていることになります。
経産省ガイダンスが示すASMの重要性
経済産業省がASM導入ガイダンスを公開した背景には、日本企業のセキュリティ対策における課題があります。同ガイダンスでは、多くの企業が「自社のIT資産を正確に把握できていない」という問題を指摘しています。脆弱性管理の前提となるIT資産の可視化が、多くの組織で不十分な状態にあるのです。
ガイダンスによると、ASMが必要とされる理由は大きく3つあります。第一に、IT資産の分散化です。クラウドサービスの活用やグループ会社・取引先とのシステム連携により、自社が管理すべきIT資産の範囲が曖昧になっています。第二に、シャドーITの増加です。情報システム部門が把握していないクラウドサービスやツールが業務で使用され、セキュリティホールとなるケースが増えています。第三に、攻撃手法の変化です。攻撃者は企業の外部公開資産を自動スキャンし、脆弱性を発見次第すぐに攻撃を仕掛けてきます。
経産省ガイダンスでは、ASMの取り組みを「攻撃⾯の発⾒」「攻撃⾯の情報収集」「攻撃⾯のリスク評価」の3つのプロセスに分類しています。まず自社の外部公開資産を網羅的に発見し、次にそれぞれの資産に関する情報(OSバージョン、使用ソフトウェア、設定状況など)を収集します。そして収集した情報をもとに脆弱性の有無やリスクの大きさを評価し、対応の優先順位を決定します。
このプロセスを継続的に実施することで、新たに発生した脆弱性や、意図せず公開されてしまったIT資産を早期に発見できるようになります。
中小企業がASMに取り組むべき理由
「ASMは大企業向けの取り組みではないか」と考える中小企業の経営者も少なくありません。しかし実態は逆で、中小企業こそASMの導入が急がれる状況にあります。
IPAの調査によると、サイバー攻撃の被害を受けた中小企業の約6割が「自社が攻撃対象になると思っていなかった」と回答しています。攻撃者にとって、セキュリティ対策が手薄な中小企業は格好の標的です。特にサプライチェーン攻撃では、大企業への侵入経路として取引先の中小企業が狙われるケースが増加しています。
また、中小企業ではIT資産の管理が属人化しているケースが多く見られます。担当者の異動や退職によって、過去に構築したシステムやサーバーの存在が引き継がれず、放置されたまま脆弱性を抱え続けることがあります。こうした「野良サーバー」や「野良クラウド」は、攻撃者にとって絶好の侵入口となります。
さらに、中小企業では限られたIT予算・人材のなかでセキュリティ対策を行う必要があります。ASMを導入することで、自社のIT資産を可視化し、リスクの高い部分から優先的に対策を行う「選択と集中」が可能になります。すべてを完璧に守ることが難しい中小企業にとって、ASMは限られたリソースを効果的に配分するための羅針盤となるのです。
ASM導入の具体的なステップ
経産省ガイダンスをもとに、中小企業がASMを導入する際の具体的なステップを解説します。ASMツールの活用と脆弱性管理の体制構築が、導入成功の鍵を握ります。
最初のステップは、現状把握と目的の明確化です。自社がどのようなIT資産を保有しているか、現時点で把握している範囲を整理します。ドメイン、IPアドレス、クラウドサービス、Webサイトなど、外部からアクセス可能な資産をリストアップしてください。同時に、ASM導入によって何を達成したいのか(脆弱性の早期発見、IT資産の棚卸し、コンプライアンス対応など)を明確にします。このステップでは「IT資産一覧表」を成果物とし、情報システム部門が主導して初回は1〜2週間、以降は四半期ごとに見直しを行うことを推奨します。
次のステップは、IT資産の発見と可視化です。経産省ガイダンスでは、この段階でASMツールの活用を推奨しています。ASMツールは、組織が保有するドメイン名やIPアドレスを起点として、関連するIT資産を自動的に発見します。情報システム部門が把握していなかったサーバーや、過去に使用していたドメインなどが見つかることも珍しくありません。このステップの成果物は「発見資産レポート」であり、情報システム部門とセキュリティ担当が協力して月次で実施することが望ましいです。
3つ目のステップは、発見した資産の情報収集と分析です。各IT資産について、使用しているOS・ソフトウェアのバージョン、公開しているサービスの種類、SSL証明書の有効期限など、セキュリティに関わる情報を収集します。この情報をもとに、既知の脆弱性が存在しないか、設定に問題がないかを確認します。成果物は「資産詳細情報シート」となり、情報システム部門が月次で更新します。
4つ目のステップは、リスク評価と優先順位付けです。すべての脆弱性に同時に対応することは現実的ではありません。脆弱性の深刻度(CVSS値など)、攻撃を受けた場合の影響度、攻撃の容易さなどを総合的に判断し、対応の優先順位を決定します。経産省ガイダンスでは、この判断基準を組織内で統一することの重要性を強調しています。このステップでは「リスク優先順位リスト」を作成し、情報システム部門とセキュリティ担当、経営層が週次または緊急時に随時協議して決定します。
最後のステップは、継続的なモニタリング体制の構築です。ASMは一度実施して終わりではなく、継続的に行うことで効果を発揮します。新たなIT資産の追加、ソフトウェアのアップデート、新たな脆弱性の公開など、状況は常に変化します。定期的なスキャンと評価を行う体制を整えることが重要です。成果物は「月次ASMレポート」であり、情報システム部門が作成し、経営層へ月次で報告する運用を確立してください。
ASM導入でよくある失敗と対策
ここまで読んで
「うちも同じだ」と思った方へ
課題は企業ごとに異なります。30分の無料相談で、
御社のボトルネックを一緒に整理しませんか?
営業電話なし オンライン対応可 相談だけでもOK
ASMの導入において、中小企業が陥りやすい失敗パターンがあります。事前に把握しておくことで、同じ轍を踏むことを避けられます。
よくある失敗の1つ目は、ツール導入を目的化してしまうことです。ASMツールを導入したものの、発見された脆弱性への対応プロセスが整っておらず、アラートが放置されるケースがあります。ツールはあくまで手段であり、発見した問題に対応する体制と合わせて検討する必要があります。
2つ目の失敗は、対象範囲を狭く設定しすぎることです。本社のIT資産だけを対象とし、グループ会社や海外拠点、取引先との共有システムを対象外としてしまうケースがあります。攻撃者は最も弱い部分を狙うため、対象範囲は可能な限り広く設定することが重要です。
3つ目の失敗は、一度きりの実施で終わらせてしまうことです。ASMの価値は継続的なモニタリングにあります。初回のスキャンで問題がなくても、新たな脆弱性は日々発見されます。年に1回の棚卸しではなく、少なくとも月次での確認が推奨されます。
4つ目の失敗は、発見された問題への対応が遅れることです。脆弱性が発見されても、対応の承認プロセスが複雑で時間がかかり、攻撃を受けてしまうケースがあります。経産省ガイダンスでも、緊急性の高い脆弱性については迅速に対応できる体制の構築を求めています。
これらの失敗を防ぐためには、ASM導入前に運用体制と対応フローを明確にしておくことが重要です。誰が何を担当するのか、緊急時の連絡体制はどうするのか、外部の専門家に相談する基準は何かなど、具体的なルールを決めておきましょう。
今すぐ取り組むべき5つのアクション
ASMの本格導入を検討する前に、今すぐ着手できるアクションがあります。自社のセキュリティ状況を把握し、ASM導入の第一歩を踏み出すために、以下の5つの取り組みを推奨します。
1つ目は、自社ドメインの棚卸しです。自社が保有するドメイン名をすべてリストアップし、現在も使用しているか、DNSレコードが正しく設定されているかを確認してください。使用していないドメインは攻撃者に悪用されるリスクがあるため、廃止または適切な管理下に置く必要があります。
2つ目は、クラウドサービスの利用状況の把握です。各部門がどのようなクラウドサービスを利用しているか調査し、一覧を作成します。シャドーITの発見につながるとともに、各サービスのセキュリティ設定を確認するきっかけになります。
3つ目は、公開Webサイトのセキュリティ確認です。自社のWebサイトやWebアプリケーションについて、SSL証明書の有効期限、使用しているCMSやプラグインのバージョンを確認します。古いバージョンのソフトウェアには既知の脆弱性が存在することが多いため、最新版へのアップデートを検討してください。
4つ目は、退職者アカウントの棚卸しです。過去に退職した従業員のアカウントが残っていないか確認します。VPNアカウント、クラウドサービスのアカウント、メールアカウントなど、外部からアクセス可能なアカウントは特に注意が必要です。
5つ目は、経産省ガイダンスの確認です。経済産業省のWebサイトで公開されている「ASM導入ガイダンス」(https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html)を一読し、自社の状況と照らし合わせてみてください。ガイダンスには業種や規模に応じた導入のポイントも記載されており、自社に適した取り組み方を検討する参考になります。
よくある質問(FAQ)
Q:ASMとは何ですか?
A:ASM(アタックサーフェス管理)とは、外部からアクセス可能な自社のIT資産(サーバー、Webサイト、クラウドサービスなど)を継続的に発見・監視し、脆弱性やリスクを管理する取り組みです。攻撃者の視点で自社の「攻撃対象領域」を把握し、セキュリティ対策の優先順位を決めるために活用します。
Q:ASMは何から始めればよいですか?
A:まずは自社が保有するドメイン名とクラウドサービスの棚卸しから始めてください。情報システム部門が把握している資産をリスト化し、各部門へのヒアリングでシャドーITの有無を確認します。この可視化作業がASMの第一歩となります。
Q:ASMツールは必ず必要ですか?
A:小規模な組織であれば、まずは手作業での棚卸しから始めることも可能です。ただし、IT資産が増えてくると手作業での管理には限界があります。経産省ガイダンスでも、継続的なモニタリングにはASMツールの活用が推奨されています。自社の規模や予算に応じて、段階的にツール導入を検討することをお勧めします。
専門家の支援を活用したASM導入
ASMの導入には、IT資産の可視化技術やセキュリティの専門知識が求められます。社内にセキュリティ専門人材がいない中小企業にとって、すべてを自社で行うことは現実的ではない場合もあります。
GXOでは、180社以上の企業を支援してきた実績をもとに、セキュリティ診断サービスを提供しています。外部からアクセス可能なIT資産の可視化から、脆弱性診断、リスク評価、対応優先順位の策定まで、ASM導入を一気通貫で支援します。福岡本社とベトナム開発拠点の体制を活かし、コストを抑えながらも専門性の高いサービスを提供しています。
ご相談いただくと、以下のような支援が可能です。
外部公開IT資産の可視化レポート作成
脆弱性診断と対応優先順位の整理
ASM運用体制・フローの設計支援
「自社にどれだけのIT資産があるかわからない」「脆弱性が見つかっても対応方法がわからない」という課題をお持ちの企業様は、まずは現状把握から始めることをお勧めします。
まとめ
アタックサーフェス管理(ASM)は、自社の外部公開IT資産を可視化し、脆弱性やリスクを継続的に管理する取り組みです。経済産業省のガイダンスでも示されているとおり、クラウド活用やリモートワークが進む現在、企業のIT資産は社内ネットワークの外側にも広がっており、従来のセキュリティ対策だけでは守りきれない状況にあります。
中小企業こそASMへの取り組みが重要です。限られたリソースを効果的に配分し、リスクの高い部分から優先的に対策を行うことで、サイバー攻撃の被害を未然に防ぐことができます。まずは自社ドメインの棚卸しやクラウドサービスの利用状況把握など、今すぐできることから始めてみてください。
ASMの導入や運用にお悩みの場合は、専門家の支援を活用することも有効な選択肢です。詳しくはGXOにご相談ください。
お問い合わせはこちら:https://gxo.co.jp/contact-form
「やりたいこと」はあるのに、
進め方がわからない?
DX・AI導入でつまずくポイントは企業ごとに異なります。
30分の無料相談で、御社の現状を整理し、最適な進め方を一緒に考えます。
営業電話なし オンライン対応可 相談だけでもOK
![kintoneで実現する業務効率化!成功企業の共通点とは](data:image/svg+xml,%3Csvg xmlns="http://www.w3.org/2000/svg" width="800" height="400" viewBox="0 0 800 400"%3E%3Crect width="800" height="400" fill="%2314b8a6"/%3E%3Ctext x="50%25" y="50%25" text-anchor="middle" dy=".3em" fill="white" font-family="Inter" font-size="32"%3Ekintone活用術%3C/text%3E%3C/svg%3E)
