はじめに

近年、クラウドやリモートワークの普及により、企業が外部に公開するIT資産は急速に拡大しています。しかし、そのすべてを正確に把握するのは難しく、「攻撃者からは見えているのに、自社では管理できていない資産」 がセキュリティリスクとなっています。

こうした背景から注目されているのが ASM（Attack Surface Management）サービス です。

経済産業省は2023年に「ASM（Attack Surface Management）導入ガイダンス」を公開し、ASMを組織的な資産管理の基盤と位置づけています。またIPA（独立行政法人情報処理推進機構）が毎年発表する「情報セキュリティ10大脅威」でも、資産リスク管理の不足に関連するものが組織の脅威要因として取り上げられています。

つまり、ASMは「やるべきこと」から「やらなければならないこと」へと変わりつつあります。

その背景を踏まえ、本記事ではASMサービスを比較する際に確認すべき7つの選び方ポイントを解説しています。選ぶポイントを自社の環境に合わせた検討に繋げられるよう、「ASMとは何か？」から簡単に解説し、仕組みの理解を深めながら「どのASMサービスを選ぶべきか？」を検討できる内容となります。

INDEX

ASMとは？ 企業に必要とされる背景

ASMサービスを比較する際の7つのチェックポイント
　1. 可視化範囲の広さ｜攻撃対象資産をどこまで把握できるか
　2. 提供プランの柔軟性｜継続監視かワンショット診断か
　3. 導入のしやすさ｜スピード感とエージェント不要の有無
　4. 提供形態｜ツール、サービスの選定検討
　5. 情報源の種類と独自性｜ダークウェブや海外情報の有無
　6. 脆弱性診断との違い｜ASMサービスの補完的な役割
　7. レポートとサポート体制｜改善提案まで支援があるか

ASM導入の検討をお勧めする企業様

FAQ｜ASM導入検討でよくある質問

まとめ｜ASMサービス比較で自社に合った資産リスク管理を実現する

SIV-ASMサービスのご紹介

ASMとは？企業に必要とされる背景

ASMとは、企業が保有する外部公開資産を洗い出し、攻撃対象領域（Attack Surface）を継続的に可視化・監視する仕組みです。

従来のセキュリティ対策は「既知の資産を守る」ことに重点が置かれてきました。

しかしクラウド活用やシャドーITの増加により、「そもそも自社が持っている資産を把握できていない」 こと自体が非常に大きなリスクになっています。

ASMは、こうした見落としを防ぐための「攻撃者視点の資産台帳」を提供する仕組みといえるでしょう。

ASMサービスを比較する際の7つのチェックポイント

1. 可視化範囲の広さ｜攻撃対象資産をどこまで把握できるか

ASMの基本は資産の「見える化」です。具体的には以下のようなものを見える化するイメージです。

・Webサイトやクラウド資産
・古いサーバや使われていないサブドメイン
・部署単位で勝手に利用されるシャドーIT

これらをどこまで自動的に発見できるかは、ツールやサービスによって大きな差があります。
可視化範囲が広いほど、資産リスク管理における見落としを減らすことができます。

2. 提供プランの柔軟性｜継続監視かワンショット診断か

ASMは継続的な監視が理想ですが、初めて導入する企業にとってはコストや運用負荷が不安要素です。そのため近年は、単発（ワンショット）のニーズも高まっています。

プラン	メリット
継続型	資産の変化を常に追いかけられる
単発（ワンショット）型	まず現状を把握し、導入判断の材料にできる

「単発から始めて継続へ」 とステップを踏めるサービスなら導入のハードルが下がります。

3. 導入のしやすさ｜スピード感とエージェント不要の有無

ASMは「導入が大変そう」というイメージを持たれがちです。

しかし、近年のサービスはクラウド型が中心で、負担を抑えて利用でき、脆弱性診断やペネトレーションテスト等と比べても手軽に利用が可能です。

・専用機器やエージェントのインストールが不要か
・必要になる素材の確認、例えばドメインのみで可能、またはIT資産情報
・契約から利用開始までにかかる期間
・初期設定に必要な工数

導入が簡単でスピーディに始められるかは大きな差別化要因です。

4. 提供形態｜ツール、サービスの選定検討

ASMの導入にあたり、自社の環境や要望に合わせ、ツール導入、サービス提供の利用を選定することが可能です。各ベンダーによって内容に違いはありますが、一般的な検討目安としては以下を参照ください。

	ASMツール	ASMサービス
概要	ツールを導入して設定アルゴリズムに基づいた自動検出を行い、自社調査、レポート確認からIT資産を把握することが可能	ベンダー内の専門家がツール等を利用して調査を行うことが多く、結果のレポート報告を受けてIT資産を把握
導入容易性	SaaSのため比較的容易に導入できるものが多い	基本的には組織名/ドメイン/IPのみで調査を行うため、比較的容易なものが多いですが、ベンダーによって違いがあるため事前確認が必要
検出	頻度は自社都合に合わせて設定できますが、機械的な対応になるため過検知や誤検知の可能性もあり	頻度はベンダーごとのプラン、費用感に比例する。検出内容は専門家視点の精査により、精度が高く過検知や誤検知は抑えられる可能性が高い
費用感	比較的サービスより費用感をおさえられるものが多いが、ツールやプランによっては運用工数も懸念される。	ベンダーやプランによって違いがあるが、内容に応じて負担が低いものや、お試し利用、また年に数回で充分なケースに対して単発利用ができるプラン等も検討ポイントとなる

5. 情報源の種類と独自性｜ダークウェブや海外情報の有無

攻撃対象資産の把握に加えて、脅威情報の収集力も重要です。

国内外（特にアジア圏）の最新攻撃手口の網羅

欧米の脅威情報は豊富に取得できるがアジア圏の情報は乏しい、またはその逆等、自社のニーズに沿った情報源を網羅しているか、確認をお勧めします。

ダークウェブや闇市場に流出した認証情報や公開されてしまった機密ファイル

こうした情報源を活用できるASMサービスは、より早く現実的なリスクを把握できます。
情報源の幅広さと独自性があるかどうかは重要な比較ポイントです。

6. 脆弱性診断との組み合わせ｜ASMサービスの補完的な役割

少し視点が変わりますが、ASM検討の際に把握しておいた方が良い要素として、脆弱性診断との役割分担や組み合わせの検討があります。「脆弱性診断を入れているからASMは不要」と考える企業様も見受けられますが、それは誤解です。

・ASM：未知の資産を見える化・攻撃対象資産の棚卸し
・脆弱性診断：既知の資産を深掘りし、弱点を発見

両者は競合ではなく、相互補完の関係にあります。
ASMで発見した資産に対して診断を行うことで、セキュリティ対策は初めて「漏れのない仕組み」になるため、導入前のポイントの１つとしてあげさせていただきました。

7. レポートとサポート体制｜改善提案まで支援があるか

最後に確認すべきは、レポートやサポート体制です。
単に検知結果を並べるだけでは担当者が困ってしまいます。

・専門家によるコメントや優先度付けがあるか
・改善に向けた推奨アクションが提示されるか
・さらに深堀りした調査や防御策を取りたいときの支援をしてもらえるか

データを活用して次の行動につなげられるかどうかが実際の運用成果を左右します。

ASM導入の検討をお勧めする企業様

以下の状況にあてはまる企業様はぜひご検討をお勧めします。

・外部に公開しているWebサイトやクラウドサービスを多数保有している企業
・グループ会社や関連会社を含め、IT資産の全体像を把握しきれていない企業
・クラウド・SaaSの利用が急速に拡大している企業
・限られたセキュリティ人材で効率的に脆弱性管理を進めたい企業
・監査や顧客からの要求があり、対応しなければならない企業
・自社のセキュリティレベルを定量的に把握し、改善の優先順位を明確にしたい企業
・サイバー攻撃リスクを経営層へ分かりやすく報告・説明する必要がある企業

FAQ｜ASM導入検討でよくある質問

Q1. ASMは中小企業でも必要ですか？

A. 規模に関係なく、クラウドやSaaSを活用する企業であれば攻撃対象領域は存在します。特に人員が限られる中小企業こそ、効率的に資産を把握できるASMが有効です。

Q2. ASM導入には高額なコストがかかる？

A. 継続監視型は一定のコストがかかりますが、単発診断なら低コストで導入可能。まず現状を可視化してから判断できます。

Q3. ASMを導入すれば、他のセキュリティ対策は不要になりますか？

A. ASMは「資産の把握と監視」に特化した仕組みであり、すべての対策を代替するものではありません。自社の環境に応じて他サービスなどと組み合わせることで効果を最大化できます。

Q4. ASMで検知された資産はすぐに修正が必要ですか？

A. すべてを即時対応する必要はありませんが、レポートにある「優先度」や「リスクレベル」を参考に、重要度の高い資産から順に対応することが現実的です。

Q5. ASMを使えばシャドーITも把握できますか？

A. 多くのASMはサブドメインやクラウド資産の利用状況を自動的に検出できるため、部署単位で勝手に導入されたSaaSやクラウド利用も見つかる可能性があります。

Q6. 一般的に海外拠点やグループ会社も対象にできますか？

A. はい。対象となるのは「インターネットから見える資産」であり、拠点の場所は問いません。グループ全体のセキュリティ管理に役立ちます。

Q7. ASM導入までにどのくらいの期間がかかりますか？

A. サービスにもよりますが、クラウド型なら数日で開始できる場合もあります。必要なのはドメインやIP情報等で、専用の機器導入は不要なことが多いです。

Q8. ASMの結果を経営層にどう報告すればよいですか？

A. 多くのサービスでは、非技術者向けにリスクを「スコア化」や「ランキング化」して提示し、経営層への説明資料として活用しやすいサービスも多くあります。サービス提供社による報告会で直接経営層へ説明し理解を促す等、サービスによっては可能です。

まとめ｜ASMサービス比較で自社に合った資産リスク管理を実現する

ASMは難しそうに見えますが、近年はクラウド型や単発診断など、手軽に始められる選択肢も増えています。「まず現状を知る」ことから始めれば十分です。

7つのポイントを押さえて比較すれば、自社に合った導入の道筋が見えてくるはずです。資産の可視化を第一歩として、着実にリスク管理の仕組みを強化していきましょう。

SIV-ASMサービスのご紹介

また、これらのポイントをふまえて当社がサポートできる範囲として、当社のASMサービス「SIV-ASMサービス」をご案内いたします。

本サービスは以下の特徴がございます。

・単発（ワンショット）型と継続型の両プランを用意

・アジアで最もサイバー攻撃被害が多い国の1つである、台湾のサイバーセキュリティ企業が持つ脅威インテリジェンスを活用

・導入負担が少なく、専門家によるサポート付き

・ドメイン提供のみで手間が少ない

初めてASMを導入する企業にも適したサービスとなっておりますので、まずは単発プランで「自社の攻撃対象領域」を把握し、資産リスク管理の第一歩を踏み出すことをお勧めします。

SIV-ASMサービス
https://www.secure-iv.co.jp/siv-asm

参考資料

経済産業省「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」
https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html