脆弱性診断=アタックサーフェスマネジメント? 新興キーワードを深く学ぼう
ITmedia エンタープライズ / 2024年11月12日 7時15分
「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を取りまとめました(METI/経済産業省)(出典:経済産業省のWebサイト)
2024年11月、日本セキュリティオペレーション事業者協議会(ISOG-J)から、「ASM導入検討を進めるためのガイダンス(基礎編)」が公開されました。多くの企業から注目を集めている「アタックサーフェスマネジメント」を知る上で、最初に目を通すべき資料になり得る、コンパクトにまとまったドキュメントです。
アタックサーフェスマネジメントは、ここ最近キーワードとして認知されるようになった考え方です。売れ筋のセキュリティソリューションにありがちな課題として、プロモーションのために周辺にある機能もいつの間にか同じ名称で呼ばれるようになり、その言葉の意味がブレるということが起きます。
アタックサーフェスマネジメントも、脆弱(ぜいじゃく)性管理や脆弱性診断、IT資産管理、そしてペネトレーションテストなど多岐にわたる内容が、同じ言葉で表現されているように見受けられます。今回は、これらの有用な資料を読み解くために、そのさらに前段にある基礎を再確認しましょう。
●「アタックサーフェスマネジメント」 本当に正しく理解できていますか?
まず、日本における多くの資料で「アタックサーフェスマネジメント」が指すものをもう一度整理しておきます。経済産業省は2023年5月に、「ASM(Attack Surface Management)導入ガイダンス」というドキュメントを公開しています。これが日本におけるアタックサーフェスマネジメント推進の基礎となっているものです。
この中では、アタックサーフェスマネジメントを「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義しています。
「組織の外部からアクセス可能なIT資産の発見」もそうなのですが、より重要なのは「継続的に検出・評価」という部分です。脆弱性診断を一度でも実施したことを「アタックサーフェス管理ができている」と捉えるのは正しくなく、それを継続的に実施し、問題がないかどうかを都度振り返ることも含めなければならないという点は、しっかりと押さえておく必要があります。加えて、これら一連が「プロセス」になっているということも注目すべきでしょう。ある程度自動化され、手間のかからない仕組みとなっていることが求められるわけです。
把握しているIT資産は一定であるはずで、新たに設置した資産だけを対象にすればよいようにも思えるかもしれません。ただしそれはあくまで“把握している”IT資産に限ります。「把握していないIT資産などあるわけがない」と思いたいところですが、そこには「シャドーIT」という、目を背けたくなるような現実が意外に多く存在しています。現状を考えると、外部から(つまり、攻撃者から)自組織がどう見えているのかを把握しておくのは、決して無駄ではないはずです。だからこそ、アタックサーフェスマネジメントがキーワードとして注目されているのです。
この記事に関連するニュース
-
『増える外部公開IT資産、攻撃者は脆弱性をどう狙うのか? 情シスはどう把握・対策すべきか?』というテーマのウェビナーを開催
PR TIMES / 2024年11月19日 10時45分
-
知っているようで意外と知らない? “脆弱性管理”の解像度を上げよう
ITmedia エンタープライズ / 2024年11月5日 7時15分
-
【ウェビナー】セキュリティガバナンスを強化する「ASM」を基礎から解説
PR TIMES / 2024年11月2日 10時45分
-
『増える外部公開IT資産、攻撃者は脆弱性をどう狙うのか? 情シスはどう把握・対策すべきか?』というテーマのウェビナーを開催
PR TIMES / 2024年10月28日 10時45分
-
『サイバー攻撃の標的「外部公開IT資産」の脆弱性対策を楽にするASM/脆弱性診断の賢い活用法』というテーマのウェビナーを開催
PR TIMES / 2024年10月22日 10時45分
ランキング
-
1未成年を狙う暴力犯罪集団「764」 自傷行為や性的虐待、ペットの殺害などネットで強要 その実態とは
ITmedia NEWS / 2024年11月19日 8時5分
-
2「え、こんなところからマルウェアに感染?」 BYODに潜む大きな“ワナ”
ITmedia エンタープライズ / 2024年11月19日 7時15分
-
3ついにコスパと性能のバランスに優れたフォルダブルが登場! 「motorola razr 50」を3つのポイントでチェック【2024年11月版】
Fav-Log by ITmedia / 2024年11月19日 6時10分
-
4「Xiaomi 14T/14T Pro」開発の舞台裏 深化したライカとの協業、スマホの中身も強化して「ギアが2段上がった」
ITmedia Mobile / 2024年11月19日 12時9分
-
5オホーツクから「就活すんな!」と叫ぶ、普通じゃない建設会社の「若」と呼ばれる社長に「仕事とは?」と聞いてみた
マイナビニュース / 2024年11月19日 6時5分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください