「うちのIT資産が外部からどう見えているか、把握できていますか?」——この問いに即答できる企業は少ない。経済産業省は2023年5月に「ASM(Attack Surface Management)導入ガイダンス」を公開し、企業のIT資産の外部公開状況を継続的に把握・管理する重要性を明確に打ち出した。
ASMとは、インターネットに公開されている自社のIT資産(Webサイト、API、クラウドサービス、VPN装置、メールサーバー等)を網羅的に把握し、脆弱性や設定ミスがないかを継続的に監視・管理する取り組みだ。ランサムウェア攻撃の82%が「外部公開資産の脆弱性」を起点としている(Mandiant 2025年レポート)ことからも、ASMの重要性は急速に高まっている。
1. なぜ今ASMが必要なのか
攻撃面(Attack Surface)の爆発的拡大
| 要因 | 攻撃面の拡大 |
|---|---|
| クラウド移行 | AWS/Azure/GCPの設定ミスによる意図しない公開 |
| リモートワーク | VPN装置・リモートデスクトップの外部公開 |
| SaaS利用増加 | シャドーIT・API連携による意図しないデータ露出 |
| M&A・グループ経営 | 子会社・グループ会社のIT資産が把握できない |
| 開発スピードの加速 | テスト環境・ステージング環境の放置 |
| IoT/OTの接続 | 工場設備・監視カメラのインターネット接続 |
経産省ガイダンスの要点
経済産業省「ASM導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」(2023年5月)の主要メッセージ:
- 外部からアクセス可能なIT資産を継続的に把握すべき
- 脆弱性やリスクを発見したら速やかに対処すべき
- ASMは脆弱性診断とは異なる——「何を守るべきか」を知る活動
- 経営層の関与が不可欠
2. ASMの仕組み
ASMの3ステップ
| ステップ | 内容 | 頻度 |
|---|---|---|
| 1. 発見(Discovery) | 自社に関連するIT資産をインターネット上から自動発見 | 継続的(毎日〜毎週) |
| 2. 評価(Assessment) | 発見した資産の脆弱性・設定ミス・証明書期限等を評価 | 発見の都度 |
| 3. 対処(Remediation) | リスクに応じて修正・遮断・廃止を実行 | 評価の都度 |
ASMで発見できるもの
| 発見対象 | 具体例 |
|---|---|
| 未把握のWebサイト | テスト環境、旧サイト、キャンペーンページ |
| 公開されたAPI | ドキュメント未整備のAPIエンドポイント |
| VPN/RDP装置 | パッチ未適用のVPN装置 |
| クラウド設定ミス | S3バケットのパブリック公開、セキュリティグループの開放 |
| SSL/TLS証明書 | 期限切れ、脆弱なプロトコル |
| ダングリングDNS | 解約済みサービスのDNSレコード放置(サブドメインテイクオーバー) |
| メールサーバー | SPF/DKIM/DMARCの未設定 |
| ソースコード | GitHubに公開されたクレデンシャル |
ASMと脆弱性診断の違い
| 項目 | ASM | 脆弱性診断 |
|---|---|---|
| 目的 | 「何を守るべきか」を知る | 「どこが弱いか」を知る |
| 対象範囲 | 未把握の資産も含めて全体 | 指定された資産のみ |
| 頻度 | 継続的(24/365) | スポット(年1〜4回) |
| 深度 | 浅い(外部からの可視性) | 深い(脆弱性の詳細分析) |
| 認証の有無 | 非認証(外部視点) | 認証あり/なし |
| 位置付け | 脆弱性診断の前段階 | ASMの後工程 |
3. ASMツール比較
主要ツール
| ツール | 本社 | 月額目安 | 特徴 |
|---|---|---|---|
| Mandiant ASM | 米国(Google Cloud) | 要見積もり(50万円〜) | 脅威インテリジェンス統合、最大手 |
| CrowdStrike Falcon Surface | 米国 | 要見積もり(30万円〜) | EDRとの統合、リアルタイム性 |
| Microsoft Defender EASM | 米国 | $0.011/資産/日 | Azure統合、低コスト |
| Censys | 米国 | $3,000〜/月 | インターネット全体のスキャンデータ |
| ULTRA RED | イスラエル | 要見積もり | 日本語対応、CSIRT連携 |
| Macnica ASM | 日本(マクニカ) | 要見積もり | 日本語サポート、国内実績豊富 |
| GMOサイバーセキュリティ ASM | 日本 | 月額10万円〜 | 日本企業向け、低価格帯 |
選定基準
| 基準 | 重要度 | チェックポイント |
|---|---|---|
| 資産発見能力 | ★★★★★ | ドメイン・IP・クラウド・SaaSの発見範囲 |
| 脆弱性評価の精度 | ★★★★★ | 誤検知率、CVEとの紐付け精度 |
| 日本語対応 | ★★★★ | UI・レポート・サポートの日本語対応 |
| 既存ツールとの統合 | ★★★★ | SIEM/SOAR/EDRとの連携 |
| 価格 | ★★★ | 資産数ベース vs 定額制 |
| レポート機能 | ★★★ | 経営層向けダッシュボード |
4. 導入費用の目安
| 企業規模 | 管理資産数 | ツール費用(年額) | 導入支援 | 運用費(年額) | 合計(初年度) |
|---|---|---|---|---|---|
| 小規模(〜100名) | 〜100資産 | 120〜360万円 | 50〜100万円 | 60〜120万円 | 230〜580万円 |
| 中規模(100〜500名) | 100〜500資産 | 360〜720万円 | 100〜200万円 | 120〜240万円 | 580〜1,160万円 |
| 大規模(500名〜) | 500〜5,000資産 | 720〜1,800万円 | 200〜500万円 | 240〜600万円 | 1,160〜2,900万円 |
コスト効果
- ランサムウェア被害の平均コスト:約4.5億円(IBM Cost of a Data Breach Report 2025)
- ASM導入で外部起点の攻撃リスクを70〜80%低減(Gartner推計)
- ROI:被害1件の回避でASM費用の10〜100倍のリターン
5. 導入ステップ
| ステップ | 期間 | 内容 |
|---|---|---|
| 1. 対象ドメイン・IP範囲の特定 | 1〜2週間 | 自社・子会社・グループ会社のドメイン一覧作成 |
| 2. ASMツール選定・PoC | 2〜4週間 | 2〜3ツールのトライアル評価 |
| 3. 初回スキャン・棚卸し | 1〜2週間 | 発見された資産の確認・分類 |
| 4. リスク評価・優先順位付け | 1〜2週間 | 重大脆弱性の特定、対処優先度の決定 |
| 5. 是正措置の実施 | 2〜8週間 | パッチ適用、不要資産の廃止、設定修正 |
| 6. 継続運用体制の構築 | 継続 | 定期レポート、アラート対応、新規資産の監視 |
6. 中小企業向けの現実的なアプローチ
大規模なASMツールは中小企業には高額すぎる場合がある。以下の段階的アプローチを推奨する。
Phase 1:無料ツールで現状把握(費用ゼロ)
| ツール | 用途 |
|---|---|
| Shodan | 自社IPアドレスの公開ポート確認 |
| Censys Search(無料版) | ドメインに紐づく資産の発見 |
| SSL Labs | SSL/TLS設定の確認 |
| SecurityHeaders.com | HTTPセキュリティヘッダーの確認 |
| Have I Been Pwned(ドメイン検索) | 漏洩メールアドレスの確認 |
Phase 2:低コストASMサービス(月額10〜30万円)
- GMOサイバーセキュリティ ASM
- Microsoft Defender EASM(Azure利用企業なら最安)
- マネージドASMサービス(MSSP経由)
Phase 3:本格ASM導入(月額30万円〜)
- 専用ツール + CSIRT/SOC連携
- 脆弱性診断との統合運用
まとめ
ASMは「やった方がいい」ではなく「やらないと危ない」フェーズに入っている。
- 経産省が明確に推奨 — 今後、取引先からASM実施状況を問われるケースが増える
- ランサムウェア攻撃の82%が外部公開資産起点 — ASMは最も費用対効果の高い防御策
- まずは無料ツールで自社の外部公開状況を確認 — 5分でリスクが可視化できる
GXO実務追記: システム開発・DX投資で発注前に確認すべきこと
この記事のテーマは、単なるトレンド紹介ではなく、要件定義、費用、開発体制、ベンダー選定、保守運用を決めるための検討材料です。検索で情報収集している段階でも、発注前に次の観点を整理しておくと、見積もりのブレ、手戻り、ベンダー依存を減らせます。
まず決めるべき3つの論点
| 論点 | 確認する内容 | 未整理のまま進めた場合のリスク |
|---|---|---|
| 目的 | 売上拡大、工数削減、リスク低減、顧客体験改善のどれを優先するか | 成果指標が曖昧になり、PoCや開発が終わっても投資判断できない |
| 範囲 | 対象部署、対象業務、対象データ、対象システムをどこまで含めるか | 見積もりが膨らむ、または重要な連携が後から漏れる |
| 体制 | 自社責任者、現場担当、ベンダー、保守運用者をどう置くか | 要件確認が遅れ、納期遅延や品質低下につながる |
費用・期間・体制の目安
| フェーズ | 期間目安 | 主な成果物 | GXOが見るポイント |
|---|---|---|---|
| 事前診断 | 1〜2週間 | 課題整理、現行確認、投資判断メモ | 目的と範囲が商談前に整理されているか |
| 要件定義 / 設計 | 3〜6週間 | 要件一覧、RFP、概算見積、ロードマップ | 見積比較できる粒度になっているか |
| PoC / MVP | 1〜3ヶ月 | 検証環境、効果測定、リスク評価 | 本番化判断に必要な数値が取れるか |
| 本番導入 | 3〜6ヶ月 | 本番環境、運用設計、教育、改善計画 | 導入後の運用責任と改善サイクルがあるか |
発注前チェックリスト
- [ ] 発注前に目的、対象業務、利用者、現行課題を1枚に整理したか
- [ ] 必須要件、将来要件、今回はやらない要件を分けたか
- [ ] 見積比較で、開発費だけでなく保守費、運用費、追加改修費を見たか
- [ ] ベンダー選定で、体制、実績、品質管理、セキュリティ、引継ぎ条件を確認したか
- [ ] 検収条件を機能、性能、セキュリティ、ドキュメントで定義したか
- [ ] リリース後3ヶ月の改善運用と責任分界を決めたか
参考にすべき一次情報・公的情報
上記の一次情報は、社内稟議やベンダー比較の根拠として使えます。一方で、公開情報だけでは自社の現行システム、業務フロー、データ状態、予算制約までは判断できません。記事で一般論を把握した後は、自社条件に落とした診断が必要です。
GXOに相談するタイミング
次のいずれかに当てはまる場合は、記事を読み進めるだけでなく、早めに相談した方が安全です。
- 見積もり依頼前に、要件やRFPの粒度を整えたい
- 既存ベンダーの提案が妥当か第三者視点で確認したい
- 補助金、AI、セキュリティ、レガシー刷新が絡み、判断軸が複雑になっている
- 社内稟議で費用対効果、リスク、ロードマップを説明する必要がある
- PoCや診断で終わらせず、本番導入と運用改善まで進めたい
ASM(Attack Surface Management)導入ガイド|外部攻撃面管理の仕組み・ツール比較・費用【2026年版】を自社条件で診断したい方へ
GXOが、現状整理、RFP/要件定義、費用対効果、ベンダー比較、導入ロードマップまで実務目線で確認します。記事の一般論を、自社の投資判断に使える形へ落とし込みます。
※ 初回相談では営業資料の説明よりも、現状・課題・判断材料の整理を優先します。