はじめに

企業のセキュリティ環境は、この数年で大きく変化しました。
クラウド利用の拡大、リモートワークの定着、業務に不可欠なSaaS導入などによって、守るべき領域は急速に広がっています。

その一方で、知らないうちに放置された「ゾンビサーバー」や、いつの間にか残ってしまった「ゴースト設定」など、意図しない動作をするIT資産が増えているケースも少なくありません。
従来の境界防御や定期的な脆弱性診断だけでは「どこに攻撃対象が存在するのか」を正しく把握できない状況が生まれています。

こうした状況に対して、企業が“攻撃者の視点”で自社の公開資産を洗い出し、継続的に可視化するASM（Attack Surface Management：攻撃対象領域管理）が注目されています。

なぜ今、ASMが注目されているか、3つの理由をお伝えします。

INDEX

はじめに

ASMが注目される理由
┗　理由(1)　攻撃手法の高度化と自動化
┗　理由(2)　クラウド・SaaS活用の急増
┗　理由(3)　規制・顧客要求の強化

海外で先行するASM活用事例
┗　金融機関の活用事例
┗　製造業の活用事例
┗　公共機関・政府の活用事例
┗　共通するポイント

まとめ　ASMは企業にとって必然の取り組みへ

SIV-ASMサービスのご紹介

ASMが注目される理由

理由(1)　攻撃手法の高度化と自動化

サイバー攻撃は今や人手に頼るものではなく、ツールやボットによる自動化が進んでいます。攻撃者は昼夜を問わず世界中のネットワークをスキャンし、脆弱性のある資産を探し続けています。

1. 自動化された資産スキャン

・攻撃者は「Shodan」や「Censys」などの検索エンジンを利用し、公開されているサーバーやIoT機器を簡単に探し出すことができます。

・専用ツールを組み合わせることで、数百万単位のIPやドメインを短時間でチェック可能。

・この結果、担当者が「存在すら忘れていたテスト環境」や「放置された古いWebサーバー」が瞬時に攻撃対象になります。

2. 攻撃ツールの高度化

・近年はオープンソースの攻撃フレームワーク（例：Metasploit）や、ダークウェブで取引される攻撃キットが普及

・これにより、専門知識の浅い攻撃者でも簡単に高度な攻撃を仕掛けられるようになりました。

・AI技術を取り入れた「自律型攻撃ボット」も登場しており、攻撃スピードはさらに加速しています。

3. 攻撃サイクルの短縮化

・従来は新しい脆弱性が発見されてから攻撃が広がるまで数週間〜数か月かかっていました。

・現在は脆弱性公開から数時間以内に世界中で攻撃が始まるケースも珍しくありません（例：Log4jの脆弱性）。

・このスピード感に対抗するには、企業が自ら継続的に資産を監視し、攻撃者より早くリスクを発見する必要があります。

理由(2)　クラウド・SaaS活用の急増

企業のデジタル化が進む中で、クラウドやSaaSは不可欠な存在になりました。
しかしその利便性の裏側で、「管理が行き届かない攻撃対象資産」が急増しています。

1. 部門ごとのクラウド利用拡大（シャドーITの増加）

営業部門が独自にSaaS型CRMを契約、開発部門がクラウド環境をテスト用に開放、といったケースは珍しくありません。こうした「部門単位の導入」はセキュリティ部門の把握から漏れやすく、シャドーIT資産となって攻撃対象となります。攻撃者はこうした“抜け穴”を常に探しており、たった1つの放置クラウドが全社のセキュリティリスクになり得ます。

2. マルチクラウド・ハイブリッド環境の複雑化

AWS、Azure、Google Cloudなど複数クラウドを使い分けるケースが増えています。その結果、アカウントや設定管理が複雑化し、「誰も気づかない公開設定」が生まれやすくなります。例えば、ストレージのアクセス権限を誤って「全世界公開」にしてしまい、機密データが漏洩する事故も現実に起きています。

3. SaaSの爆発的普及と資産の散在

社内で使われるSaaSは数十〜数百にのぼる場合もあり、管理者が全容を把握するのは困難です。SaaS連携で生じるサブドメインや公開APIが、攻撃者から見れば格好の標的になります。「誰が責任を持っているのか不明な資産」が増えるほど、脆弱性対応は遅れやすくなります。

4. クラウド特有の“見えないリスク”

クラウド資産はオンプレ環境と違い、社内ネットワークの外側で公開されることが多いため、攻撃者から最初に見える部分です。さらに、従業員の退職や異動で管理者が不在になったクラウド環境が放置されるケースもあります。こうした資産は、企業が気づかぬまま攻撃の入り口になります。

理由(3)　規制・顧客要求の強化

近年、サイバーセキュリティを巡る規制や顧客からの要求は、年々厳しさを増しています。単に「守るための対策」ではなく、「ビジネスを継続するための必須条件」になってきています。

1. 国際規制・法令の強化

・GDPR（EU一般データ保護規則）に代表されるように、データ保護・プライバシー関連の法規制が世界各地で整備。違反すれば巨額の制裁金が課される可能性があります。

・米国のCISA（Cybersecurity and Infrastructure Security Agency）は重要インフラ事業者に脆弱性管理の強化を義務付け。ASMによる「外部から見えるリスクの把握」はその要件に直結します。

・日本でも『個人情報保護法の改正』や『経済産業省のサイバーセキュリティガイドライン』などが強化されており、規制対応は企業にとって避けられない課題です。

2. 業界ガイドライン・標準の普及

・金融業界では、金融庁のサイバーセキュリティ強化方針、製造業では『NIST CSF（米国標準）』などが求められています。

・海外との取引では『ISO/IEC 27001』などの国際規格準拠を要求されるケースも増加。

・ASMは「外部資産の棚卸し」「脆弱性対応のエビデンス」を提供できるため、監査・審査の現場でも活用が進んでいます。

3. 顧客・取引先からの要求

・大手企業やグローバル企業は、自社だけでなく取引先やサプライチェーン全体にセキュリティ水準を求めるようになっています。

・「セキュリティチェックシート」や「取引条件」として、ASMに近い視点（外部資産の可視化や脆弱性管理）が求められるケースも出てきました。

・実際に海外では、入札条件としてASMや外部攻撃対象領域管理の実施が必須とされる事例もみられます。

---

以上、3つのASMが注目される理由をご紹介しました。

最後に、ASMがどのように活用されているかがイメージできるよう、幾つか事例を紹介します。

一般的に国内事例は需要に応じてこれから情報が増加すると思われますが、海外ではASMを既にセキュリティ戦略に取り入れて活用している事例も多く報告されており、特に金融、製造業、公共機関での導入事例が豊富です。以下、代表的な一般事例をご紹介します。

海外で先行するASM活用事例

1. 金融機関 ― 常時監視による不正アクセス対策

銀行やFinTech企業は常にサイバー攻撃の主要ターゲットです。

• 公開されているサーバーやWebアプリを攻撃者がスキャンし、脆弱性を突こうとするケースが頻発。
• ある海外大手銀行では、ASMを導入して自動的にインターネット上の全資産を可視化。
• 結果、セキュリティチームが気付いていなかった古いテスト用ドメインを発見し、攻撃に悪用される前に閉鎖。

このように、ASMは「気づいていない資産」をいち早く把握し、金融業界の高リスクを下げる効果を発揮しています。

2. 製造業 ― サプライチェーン全体でのリスク管理

製造業では拠点や取引先がグローバルに広がり、管理の目が行き届かない資産が増えています。

• ある海外の製造大手では、ASMで海外拠点のWebサーバーや取引先関連のクラウド資産を含めて監視。
• 結果として、グループ外に公開されていた機密関連システムを早期に検知し、迅速に遮断。

ASMは単一企業内だけでなく、取引先や委託先を含めたサプライチェーン全体のセキュリティ強化に使われ始めています。

3. 公共機関・政府 ― 国家レベルでの攻撃対象管理

公共機関や政府機関では、重要インフラを狙う攻撃が深刻な脅威となっています。

• ASMを導入し、行政機関のWeb資産やクラウド環境を一元管理する国もみられる。
• ASMにより、古いサブドメインや誤って公開されたサーバーを洗い出し、国家規模でのリスク軽減に成功。

ASMの採用は、このような事例を含め今後他国でも加速すると見込まれます。

4. 共通するポイント

これらの事例に共通するのは、

• 境界が曖昧になり、リスクが散在していること
• 「知らない間に公開されていた資産」を狙われるリスクが高いこと

そして、ASMは単なる「便利ツール」ではなく、組織全体のセキュリティ基盤を支える仕組みとして活用されている点です。

まとめ：ASMは企業にとって必然の取り組みへ

ASMが注目される理由は、

• 攻撃手法の進化
• クラウド活用の増加
• 規制・顧客要求の強化

といった複数の背景が重なっているためです。
単なる流行ではなく、「自社の攻撃対象領域を可視化し、説明責任を果たす」ための必須施策として、今後さらに導入が加速すると考えられます。

SIV-ASMサービスのご紹介

これらのポイントをふまえて当社がサポートできる範囲として、当社のASMサービス「SIV-ASMサービス」をご案内いたします。

本サービスは以下の特徴がございます。

・単発（ワンショット）型と継続型の両プランを用意

・アジアで最もサイバー攻撃被害が多い国の1つである、台湾のサイバーセキュリティ企業が持つ脅威インテリジェンスを活用

・導入負担が少なく、専門家によるサポート付き

・ドメイン提供のみで手間が少ない

初めてASMを導入する企業にも適したサービスとなっておりますので、まずは単発プランで「自社の攻撃対象領域」を把握し、資産リスク管理の第一歩を踏み出すことをお勧めします。

SIV-ASMサービス
https://www.secure-iv.co.jp/siv-asm