セキュリティ業界にあふれる“片仮名バズワード”を正しく理解するコツとは？

アタックサーフェスマネジメントについて触れている河野太郎氏の公式Webサイト（出典：河野太郎氏の公式Webサイト）

　デジタル大臣の河野太郎氏のWebサイトで先日、『アタックサーフェスマネジメント』というタイトルの記事が公開されました。これは内閣サイバーセキュリティセンター（NISC）が政府機関のセキュリティ対策強化に向けた指針を発表したことを受けてのものです。大臣からこのようなセキュリティキーワードが出てくるとは、時代が変わったと思いました。

　アタックサーフェスマネジメントは、セキュリティキーワードとして浸透しつつあります。河野氏のブログでは「専用のツールを活用して、インターネットから接続可能なサーバやネットワーク機器などの状態を網羅的に調査し、サイバー攻撃の端緒となり得る機器の脆弱（ぜいじゃく）性を発見し、速やかに対応していくこと」と解説されています。皆さんの組織でも、そろそろこのアタックサーフェスマネジメントというものに予算が付き「さあどうしようか」と考えているタイミングなのではないでしょうか。

　河野氏のブログは、こんな言葉で締めくくられています。むむむ、これは非常に良い指摘ですね。

なお、こうした取り組みは「アタックサーフェスマネジメント」と呼ばれていますが、デジタル庁としては、こうした英語をもとにした片仮名用語をもっと広く理解されるような日本語に改めていきたいと考えています。

●セキュリティ業界にあふれるバズワード　正しく理解するにはどうすればいい？

　セキュリティ業界は多くのバズワードであふれています。アタックサーフェスマネジメントもその一つですが、数多くあるキーワードの中でも「これは確かにやらなければならないのではないか？」と思える重要なものになりつつあります。しかし、一度用語が定着してしまうと、筆者を含めその用語の範囲を限定的にしてしまいがちです。

　アタックサーフェスマネジメントは当初、攻撃界面を把握するといったイメージで捉えられてきました。要するに攻撃がやってくる、インターネットに面した部分を把握し、管理することこそが「アタックサーフェスマネジメント」なのです。

　これは間違いではないとは思うのですが、「管理する」ことが本来重要であるにもかかわらず、キーワードを知っているつもりでいて本当にすべき管理を把握できていなかったことが、筆者の反省でした。アタックサーフェスマネジメントとは資産管理であるというのも、今では少々、認識不足となるかもしれません。

　以前紹介した辻 伸弘氏の記事を見ると、日米でもその定義に違いがあり、アタックサーフェスマネジメントとは「資産管理」と「脆弱（ぜいじゃく）性管理」である、と述べています。非常に参考になるので改めてチェックしてみてください。