セキュリティコラム

ネットワーク
初心者向け

公開:2025.05.14 10:00 ｜更新: 2025.05.14 01:15

ASM（Attack Surface Management）とは？　最新ガイドと企業のセキュリティ対策

はじめに

近年、政府関連で『Attack Surface Management』に関する情報を目にする事が多い。
2023年には経済産業省が「ASM（Attack Surface Management）導入ガイダンス」を、2024年には日本セキュリティオペレーション事業者協議会より「ASM導入検討を進めるためのガイダンス（基礎編）」が公開されている。

また、内閣サイバーセキュリティセンター（NISC）では、各府省庁、独立行政法人・指定法人の情報システムを対象にした横断的アタックサーフェスマネジメント（ASM）事業を順次開始すると発表している。※1

※本記事内容に関する出典・参考：
※1 ScanNetSecurity「NISC、横断的アタックサーフェスマネジメント事業開始各府省庁や独立行政法人等の情報システムが対象」

Attack Surface Management（ASM）とは?

そこで、Attack Surface Management（以降、ASM）について調べてみた。

そもそも”Attack Surface”って何？　ということだが、米国立標準技術研究所(NIST)が出しているガイドライン「SP 800-160 Vol. 2 Rev. 1」※2では、"the set of points on the boundary of a system, a system element, or an environment where an attacker can try to enter, cause an effect on, or extract data from."と定義されている。
翻訳すると「システム、システム要素、または環境の境界上にあるポイントのセット。攻撃者が侵入したり、影響を与えたり、データを抽出したりできる場所です」と表記された。（Google翻訳）

ASMとは「内部犯行者を含む攻撃者によりアクセス可能なシステムに対する脆弱性を管理する技術やプロダクトの事」なのかと思っていたが、ASMについて詳しく調べてみると、どうもそう単純な技術・プロダクトではないようだ。
リサーチ会社のForrester Researchでは、「企業の IT 資産のエクスポージャーを継続的に検出、特定、インベントリ作成、評価するプロセス」※3と定義している。

しかし、経済産業省より公開されている「ASM 導⼊ガイダンス・外部から把握出来る情報を⽤いて⾃組織の IT 資産を発⾒し管理する」※4では、「組織の外部（インターネット）からアクセス可能な IT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」と「組織の外部（インターネット）からアクセス可能な IT 資産」と定義している。ただ、そう定義した理由については以下と説明している。

なお、⽶国⽴標準技術研究所（NIST）がSP800-53として発⾏している『Security and Privacy Controls for Information Systems and Organizations4』で、「攻撃⾯（Attack Surface）」を以下のように定義している。

(注1)内容は、Attack Surfaceの段落へ記載した内容と同様の為、省略

この定義によれば、攻撃⾯の対象として組織の外部・内部については⾔及されていない。しかしながら、攻撃⾯は、組織外の攻撃者が容易に発⾒できるものであり、かつ、組織がセキュリティ上より注視すべきであるものと考える。そのため、本書では、攻撃⾯（Attack Surface）を「組織の外部（インターネット）からアクセス可能なIT資産」とする

経済産業省の定義したASMというのは、「External Attack Surface Management(EASM)」に該当する。

EASMとは、悪意ある攻撃者にインターネットなど外部から攻撃を受ける可能性のある対象を正確に把握する技術やソリューションのことで、EASM以外のASMについては、後ほど説明する。

※本記事内容に関する出典・参考：
※2 NIST SP 800-160 Vol.2 Rev.1「Developing Cyber-Resilient Systems: A Systems Security Engineering Approach」
※3 Forrester「Announcing Forrester’s New Research On Attack Surface Management」
※4 経済産業省「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました」

ASMのコア機能

先のリサーチ会社のForrester Researchや経済産業省のASMの情報や、その他のASMに関する記事を調べてみると、ASMには以下の機能を要している事が分かった。

【1】攻撃面の発見	アクセス可能なIT資産の自動検出。
【2】情報収集	検出したIT資産のOS・ソフトウェア・ソフトウェアのバージョン・オープンなポート番号などの情報を収集。ASMでは比較的短いスパンで「攻撃面の発見」「情報収集」を行う必要がある為、基本的（注2）には、調査対象のIT資産に影響を与えない手法で情報収集する必要がある。
【3】リスク評価	「【2】情報収取」で収集した情報を基に、脆弱性情報と突合する。

（注2）「基本的」としたのは、ASM製品によってはIT資産に影響を与える手法で情報収集する製品も存在する可能性がある為、あえて明示している。

なお、コア機能として、「【3】リスク評価」を基にした対応についてもコア機能として含めている記事も存在していたが、コア機能として共通して記載されていたのが上記３つとなる為、それらをコア機能として記載している。

ASMと脆弱性診断における脆弱性検出方法の違い

ここで気になったのが、脆弱性診断による検出方法との違いだ。

例えば、弊社がサービス提供する「プラットフォーム診断」※5や「Webアプリケーション診断」※6などの脆弱性診断では、ユーザより提示された診断対象（サーバ/Webサイト）や時間帯（比較的サービス影響が少ない営業時間帯や営業時間外など）を合意したうえで実施している。というのも脆弱性診断で実施する検出(診断)方法は、アクティブスキャンに分類される方法で、この診断方法では実際に疑似攻撃を仕掛ける事からサービス影響を考慮する必要がある。

しかし、ASMでは継続体にIT資産を検出・評価する必要がある事から、サービス提供への影響を考慮する必要のないパッシブスキャンによるIT資産および脆弱性を検出していると思われる。たとえば、EASMである「Microsoft Defender External Attack Surface Management (Defender EASM) 」※7では、ドメイン・IPアドレスブロック・ホスト・メール連絡先・自律システム名 (ASN)・Whois組織の情報を基に、IT資産の洗い出しおよび脆弱性を検出してくれるようだ。

※本記事内容に関する出典・参考：
※5 セキュアイノベーションセキュリティブログ「現役セキュリティエンジニアが語るWebアプリケーション診断とは？」
※6 セキュアイノベーションセキュリティブログ「現役セキュリティエンジニアが語るプラットフォーム診断とは？」
※7 Microsoft Build 「検出とは」
※7 Jeffreyappel「How to use Microsoft Defender EASM (External Attack Surface Management)」

ASMの種類

これまで、ASMの大枠やEASMとの比較によるIT資産や脆弱性の検出方法について整理してきたが、調べているなかでEASM以外にも以下のように分類される技術やプロダクトとして紹介されている事がわかった。

Internal Attack Surface Management(IASM)※8

EASMの対になる技術やソリューション。Microsoft Defender for Endpoint(以降、MDE)の機能「デバイス検出」※9を利用して、内部ネットワークに存在するMDE未管理のサーバやPC、スイッチ・ルータなどのネットワークデバイス、プリンターやカメラなどのIoTデバイスを検出して、脆弱性管理するイメージかと思われる。

Cyber Asset Attack Surface Management (CAASM)※8

組織が管理する社内外に存在するIT資産（ネットワークデバイス、クラウドリソース、エンドポイント、アプリケーションなど）すべてを可視化し、脆弱性を管理する技術やソリューション。
リサーチ会社のGartner社公開の「Gartner Peer Insights」では、CAASMの説明している中にAPI統合というキーワードが出てくる事※10から、EASMで可視化/収集した情報を、例えば、Microsoft Defender XDRに収集された各デバイスの脆弱性情報やMicrosoft Defender for Cloudで収集したクラウド環境のポスチャー情報(posture management)を、APIを通じて一元管理するイメージかと思われる。

Open Source Attack Surface Management (OSASM)※8

Open Source Software(ライブラリ、フレームワーク、ツールなど)を含むIT資産の可視化/脆弱性の管理に特化した技術やソリューションのことらしいが、具体的な手法やソリューションを見つける事ができず、イメージが付かない。恐らく、CAASMのようにONEKEY※11のような自動解析ツールにより収集したSBOM情報をCAASMとAPI統合して脆弱性情報を充実させ一元管理するイメージかと思われる。

ASM自体が抽象的な概念となるので、「ASM導入検討を進めるためのガイダンス（基礎編）」※12の「2.4 ASMや同カテゴリに類されることが多いツールやサービス」に記載されているように、ASMと同等として紹介されている技術やソリューションが存在しているかもしれない。

※本記事内容に関する出典・参考：
※8 Palo Alto Networks「アタックサーフェス管理とは」
※9 Microsoft Build「デバイス検出の概要」
※9 Zenn「Microsoft Defender for Endpoint のデバイス検出」
※10 Gartner Peer Insights「Cyber Asset Attack Surface Management (CAASM) Reviews and Ratings」
※11 セキュアイノベーション「セキュアイノベーション、SBOMの自動生成等をはじめとする製品自動解析ツール「ONEKEY」の提供を開始」
※12 ASM導入検討を進めるためのガイダンス（基礎編）「2.3 ASMのプロセス」

おわりに

ASMを利用する事で、把握していなかったIT資産（シャドウIT）を自動検出し脆弱性まで検出してくれる便利な技術・ソリューションだが、ASMの仕様上、それだけですべてのIT資産の脆弱性を検出できるわけではないと考えた方がよいだろう。

項目「ASMと脆弱性診断における脆弱性検出方法の違い」でも記載したが、ASMでは短いスパンでIT資産を検出・評価する必要がある事から、IT資産のサービス提供に影響を与えないスキャンを実施する必要がある（注3）。

その特性より、例えば、tcp接続時のバナー情報よりOSやソフトウェアバージョン※13を収集し脆弱性を検出するようなASMの場合、脆弱性対策の為に適用したパッチがソフトウェアバージョンを変更しない仕様であれば、ASMによるスキャンでは脆弱性が検出され続ける（疑陽性）事が想定される。

その為、ASMはシャドウITの検出や内在する脆弱性の目安を検出してくれるが、ASMだけではすべてのIT資産の脆弱性を検出することは難しいと考えられる。よってASMと「定期的な脆弱性診断を実施」する運用を行う事がベストなセキュリティ対策なのではと考えている。特に経済産業省公開の【ASM（Attack Surface Management）導入ガイダンス】の「4章事例」に記載されているように企業活動としてドメインやIPアドレスを新規取得する事が多い企業においては、ASM（EASM）の利用は有効と思われる。

（注3）項目「ASMの種類」に記載した通り、プロダクトによってはアクティブスキャンを実施するプロダクトも存在する可能性があるので注意が必要。

※本記事内容に関する出典・参考：
※13 Qiita「HTTPレスポンスヘッダーのバナー情報隠ぺいは無意味ではないけど根本的な対策ではない、という話」