脆弱性診断＝アタックサーフェスマネジメント？ 新興キーワードを深く学ぼう

「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました（METI/経済産業省）（出典：経済産業省のWebサイト）

　2024年11月、日本セキュリティオペレーション事業者協議会（ISOG-J）から、「ASM導入検討を進めるためのガイダンス（基礎編）」が公開されました。多くの企業から注目を集めている「アタックサーフェスマネジメント」を知る上で、最初に目を通すべき資料になり得る、コンパクトにまとまったドキュメントです。

　アタックサーフェスマネジメントは、ここ最近キーワードとして認知されるようになった考え方です。売れ筋のセキュリティソリューションにありがちな課題として、プロモーションのために周辺にある機能もいつの間にか同じ名称で呼ばれるようになり、その言葉の意味がブレるということが起きます。

　アタックサーフェスマネジメントも、脆弱（ぜいじゃく）性管理や脆弱性診断、IT資産管理、そしてペネトレーションテストなど多岐にわたる内容が、同じ言葉で表現されているように見受けられます。今回は、これらの有用な資料を読み解くために、そのさらに前段にある基礎を再確認しましょう。

●「アタックサーフェスマネジメント」　本当に正しく理解できていますか？

　まず、日本における多くの資料で「アタックサーフェスマネジメント」が指すものをもう一度整理しておきます。経済産業省は2023年5月に、「ASM（Attack Surface Management）導入ガイダンス」というドキュメントを公開しています。これが日本におけるアタックサーフェスマネジメント推進の基礎となっているものです。

　この中では、アタックサーフェスマネジメントを「組織の外部（インターネット）からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義しています。

　「組織の外部からアクセス可能なIT資産の発見」もそうなのですが、より重要なのは「継続的に検出・評価」という部分です。脆弱性診断を一度でも実施したことを「アタックサーフェス管理ができている」と捉えるのは正しくなく、それを継続的に実施し、問題がないかどうかを都度振り返ることも含めなければならないという点は、しっかりと押さえておく必要があります。加えて、これら一連が「プロセス」になっているということも注目すべきでしょう。ある程度自動化され、手間のかからない仕組みとなっていることが求められるわけです。

　把握しているIT資産は一定であるはずで、新たに設置した資産だけを対象にすればよいようにも思えるかもしれません。ただしそれはあくまで“把握している”IT資産に限ります。「把握していないIT資産などあるわけがない」と思いたいところですが、そこには「シャドーIT」という、目を背けたくなるような現実が意外に多く存在しています。現状を考えると、外部から（つまり、攻撃者から）自組織がどう見えているのかを把握しておくのは、決して無駄ではないはずです。だからこそ、アタックサーフェスマネジメントがキーワードとして注目されているのです。