[Security NEXT Special PR]

【特別企画】なぜ今「ASM」が注目されるのか - 攻撃者視点こそ防御のかなめ

「DX化」が叫ばれる今日、さまざまな部署でデジタル化が推進されている。しかし、工場や海外拠点、サプライチェーンも含めて一気通貫で「脆弱な状態」を分析、可視化できているだろうか。部門ごとに責任者が異なるなど、システムの見通しはむしろ悪くなっていることもしばしばだ。またITの担当者が全員サイバーセキュリティに詳しいわけではない。最新のサイバーセキュリティ事情を踏まえてチェックすることも困難ではないだろうか。

外部に公開されており、攻撃起点として狙われるおそれがある部分は「アタックサーフェス（攻撃対象領域）」と呼ばれる。そこを管理するのが「ASM」だ。経済産業省も2023年5月に「ASM導入ガイダンス」を公開し、リスクを可視化してマネジメントすることを求めている。

覚えておきたい「ASM」と「脆弱性診断」の違い

経済産業省がガイダンスを公開したことで、「ASM」への注目度も高まり、さまざまな製品が「ASM」というコンセプトのもと展開されている。しかし、同じ「ASM」という名称でも製品やサービスでコンセプトが異なる場合もあり、注意が必要だ。

近藤氏は、「ASM」を理解、導入する上でのポイントとして、個々のプログラムにおけるセキュリティ上の問題である「脆弱性」と、組織そのものが危険にさらされている「脆弱な状況」を区別して考える必要があるとアドバイスする。

「脆弱性」さえ対応しておけば大丈夫と考える風潮も一部見られるが、注意が必要であると指摘。たとえ「脆弱性」が修正されていても、設定の不備など放置されていれば攻撃者の侵入を許してしまう。「脆弱性」だけに注目するのではなく、より広い「脆弱な状況」というスコープで組織のリスク状況を把握し、管理することが重要だと強調した。

その点「ASM」は、外部から確認できる部分や、脅威インテリジェンスを用いて、広く浅く「脆弱な状況」が生じていないか可視化するのがメインの役割となる。

既知の機器はもちろん、組織として把握できていない機器も含め、脆弱性にとどまらず、設定や構成ミス、侵害状況なども含めて組織の取り巻くシステム環境全体を俯瞰し、セキュリティ上のほころびがあれば、優先順位などを示し、経営上のリスク判断をサポートする。

「ASM」と混同されることも多いのが「脆弱性診断」だ。両者は弱点を調査するという目的は似ているものの、そもそものコンセプトが異なり、使いどころも違う。「脆弱性診断」は、あらかじめ指定した特定のシステムに対し、コードや動的な検査にもとづいて「脆弱性」などがないか深堀りすることが目的だ。

「ASM」と「脆弱性診断」はそれぞれ役割が異なるため、併用することもある。イメージとしては、「ASM」でシステム環境全般を可視化し、把握したシステムへピンポイントに「脆弱性診断」を実施していくといった流れだ。

（提供：TwoFive - 2025/03/10 ）ツイート

[Security NEXT Special PR]

【特別企画】なぜ今「ASM」が注目されるのか - 攻撃者視点こそ防御のかなめ

覚えておきたい「ASM」と「脆弱性診断」の違い

関連リンク

PR

関連記事