「自社がインターネット上にどんな資産を公開しているか、正確に把握できているか」と問われて、自信を持って「はい」と答えられる情報システム担当者は多くない。クラウドサービスの普及、部門ごとのSaaS導入、リモートワーク環境の拡大によって、企業の外部公開資産は急速に増え、把握しきれていないケースが増えている。
ASM(Attack Surface Management:攻撃表面管理)は、こうした問題に対応するために設計されたセキュリティアプローチだ。攻撃者の視点から自社の外部公開資産を継続的にスキャン・可視化し、リスクを早期に発見・対処する。経済産業省が2023年にガイダンスを公表して以降、大企業を中心に導入が加速しており、2026年現在はサプライチェーン管理の観点から中堅企業への波及も進んでいる。
本記事では、ASMの基本概念から、従来の脆弱性診断との違い、主要ツールの比較、導入費用、具体的な進め方まで体系的に解説する。
1. ASM(Attack Surface Management)とは?
攻撃表面とは何か
「攻撃表面(Attack Surface)」とは、攻撃者が組織のシステムやデータに侵入するために利用できる、あらゆるエントリーポイントの総体を指す。具体的には以下のような要素が該当する。
- インターネットに公開されているWebサーバー・アプリケーション
- 外部から到達可能なVPN・RDP・SSHエンドポイント
- クラウド環境(AWS・Azure・GCP)で公開されているストレージ・APIエンドポイント
- DNS登録されているサブドメイン
- 社員が業務に使用しているSaaSサービスのアカウント
- サプライチェーン(取引先・委託先)のシステム連携箇所
これらは本社が意図して公開しているものばかりではない。開発チームがテスト用に立ち上げたまま放置されたサーバー、退職した従業員のアカウントが残るクラウド環境、M&A後に統合されずに残った旧子会社のドメインなど、管理者が把握していない「見えない資産」が攻撃者の侵入口になる事例が後を絶たない。
ASMの定義
ASMとは、組織の外部攻撃表面を継続的に発見・分類・評価・優先度付けし、リスクを管理するプロセスおよびそれを支援するツール群の総称だ。Gartnerは2021年のレポートで攻撃表面管理をサイバーセキュリティの最重要領域の一つと位置づけ、以降グローバルで注目度が急上昇した。
ASMが対象とするのは「外部からインターネット経由でアクセス可能な資産」に限定されることが多く、これを特にEASM(External Attack Surface Management)と呼ぶ。内部ネットワークや従業員のデバイス・アカウントも対象に含める概念はCAASM(Cyber Asset Attack Surface Management)と呼ばれ、区別される場合がある。本記事では一般的な用法に従いEASMを中心に解説する。
ASMが注目される背景
背景要因 | 詳細 |
|---|---|
クラウド利用の急拡大 | 複数クラウドの並行利用でIT資産の全体像が把握困難に |
シャドーIT・部門SaaSの増加 | 情報システム部門を通さずに導入されるツールが可視化されない |
M&A・グループ企業展開 | 買収先・子会社の資産が親会社の管理外に残る |
サプライチェーンリスクの増大 | 委託先・取引先経由の侵入が増加し、自社だけ守れば済まない時代に |
攻撃者ツールの自動化・高度化 | Shodan等を使った無差別スキャンが常態化し、放置した脆弱性は即座に狙われる |
2. 従来の脆弱性診断との違い(継続的 vs スポット)
「脆弱性診断をすでにやっている」という企業でも、ASMが別途必要になるケースがある。両者は目的・手法・カバー範囲が根本的に異なる。
従来の脆弱性診断の特徴
従来型の脆弱性診断(ペネトレーションテスト・Webアプリ診断など)は、「あらかじめ定めたスコープ」に対して「一定時点での」診断を実施するスポット型のアプローチだ。
- スコープが事前定義される:発注時に「このURLを診断してほしい」「このIPレンジを対象にしてほしい」と指定する
- 年1〜2回の実施が一般的:診断結果は実施時点のスナップショットにすぎない
- 見えていない資産は対象外:担当者が把握していない資産は診断されない
この構造上、「把握していないサブドメインに脆弱なサービスが立ち上がっていた」「診断実施後に新たな脆弱性が発見されたが次回診断まで気づかなかった」というギャップが生まれる。
ASMの特徴
ASMは「まず自社の外部公開資産を自動的に発見・列挙し、そのすべてに対してリスク評価を継続的に行う」アプローチを取る。
- 資産の自動発見が出発点:DNSレコード、証明書透明性ログ、インターネットスキャンデータ等を活用して、公開資産を自動で洗い出す
- 継続的なモニタリング:新たに公開された資産、設定変更、新規脆弱性情報が出るたびにリアルタイムまたは定期的に評価される
- シャドーITの可視化:管理者が把握していない資産も発見対象
2つのアプローチの比較
比較軸 | 従来の脆弱性診断 | ASM |
|---|---|---|
スコープ | 事前定義(Known Assets) | 自動発見(Known + Unknown Assets) |
実施頻度 | スポット(年1〜2回) | 継続的(毎日〜週次) |
対象 | 申告した資産のみ | インターネット公開資産全般 |
主な目的 | 既知資産の脆弱性深掘り | 外部公開資産の全体像把握・リスク優先度付け |
アウトプット | 脆弱性レポート(詳細) | 資産台帳 + リスクダッシュボード |
担当者の手動作業 | 診断設計・報告書分析 | アラート確認・優先度判断 |
費用モデル | プロジェクト単位(都度) | 年間サブスクリプション |
両者は対立するものではなく、ASMで全体像と優先度を掴み、高リスクな箇所に対して従来型の詳細診断を集中的に実施するという組み合わせが実務上有効だ。
3. 経産省のASMガイダンスと企業への影響
ガイダンスの概要
経済産業省は2023年5月に「ASM(Attack Surface Management)導入ガイダンス〜外部から把握できる情報を用いて自組織のIT資産を発見し管理する〜」を公表した。これは日本国内においてASMを正式に推進する初の政府文書であり、企業のセキュリティ担当者が参照すべき重要な文書だ。
ガイダンスでは以下の内容が整理されている。
- ASMの定義と対象範囲(IT資産の種類・外部公開の定義)
- ASMの実施プロセス(発見→分類→評価→対処の4ステップ)
- 企業規模別・内製化/外部委託別の実施方法の選択肢
- 注意事項(第三者所有の資産を誤ってスキャンするリスク等)
企業への影響
ガイダンス公表後、大企業を中心にASM導入の動きが加速した。特に以下の観点で企業の優先度が高まっている。
サプライチェーン管理への要求拡大:大企業がグループ会社・取引先にセキュリティ基準の遵守を求める場面で、ASMによる外部公開資産の管理状況が評価項目に加わり始めている。経済産業省の「サイバーセキュリティ経営ガイドライン」でも、サプライチェーンの把握が重点事項とされており、ASMはその実装手段として位置づけられる。
政府調達・入札要件への波及:政府系の調達案件や重要インフラ事業者向けのセキュリティ要件として、外部公開資産の継続的管理が言及されるケースが増えており、特定の業種・規模の企業は事実上の対応が求められる状況になってきている。
金融・製造・医療セクターの動向:金融庁のサイバーセキュリティ管理態勢に関する方針、製造業のスマートファクトリーセキュリティガイドライン、医療機関のサイバーセキュリティ対策指針など、各業種のガイドラインでも外部公開資産の管理が明示的に言及されている。
ガイダンスが示す実施プロセス
経産省ガイダンスが示すASMの基本プロセスは4ステップで構成される。
- 発見(Discovery):DNS情報、証明書透明性ログ、インターネットスキャンデータ等を活用して、自組織に紐づく外部公開資産を洗い出す
- 分類(Inventory):発見した資産をIPアドレス、ドメイン、Webアプリ、クラウドリソース等の種別に整理・台帳化する
- 評価(Assessment):各資産に対してリスク評価(稼働中のサービス・オープンポート・証明書の有効期限・既知脆弱性の有無等)を実施する
- 対処(Remediation):リスクの優先度に応じて、修正・設定変更・廃止等の対処を行う
このサイクルを継続的に繰り返すことが、ASMの本質だ。
4. ASMで可視化できるもの
外部公開IT資産の全体像
ASMツールが自動的に発見・整理するIT資産には以下のようなものが含まれる。
ドメイン・サブドメイン 組織が登録している全ドメインと、そこに紐づくサブドメインを洗い出す。「使っていないと思っていたサブドメインが生きていた」「退職した従業員が作成したテストサイトが残っていた」という事例はよく見られる。証明書透明性ログ(Certificate Transparency Logs)を活用することで、正規のDNS管理外のサブドメインも発見できる。
公開Webサーバー・Webアプリケーション HTTPSで公開されているサーバーのバナー情報、利用しているWebフレームワーク・CMS・JavaScriptライブラリのバージョン情報を収集し、既知の脆弱性(CVE)との照合を行う。古いWordPressやApache Strutsが稼働しているサーバーが発見されるケースが典型例だ。
開放ポート・露出サービス SSH(ポート22)、RDP(ポート3389)、データベースポート(3306・5432等)がインターネットに直接開放されていないかをスキャンする。特にRDPの直接公開はランサムウェアの侵入口として悪用される頻度が高く、早期発見が重要だ。
クラウド設定ミス AWS S3バケット、Azure Blob Storage、GCS等のパブリックアクセス設定の誤りを検出する。「内部向けのつもりで作成したストレージが公開設定になっていた」という事例は現在も多発している。
シャドーITの可視化
シャドーITとは、情報システム部門が把握・承認していないIT機器やサービスを指す。部門が独自に契約したSaaSの管理アカウント、開発チームが使用するパブリックリポジトリ(GitHub等)への機密情報の混入、マーケティング部門が導入したCMSの脆弱なプラグインなど、管理外資産はセキュリティリスクの温床になる。
ASMツールはインターネットスキャンと組織ドメイン情報の照合により、管理台帳に存在しない外部公開資産を発見し、「これはどのチームの資産か」を管理者に問い合わせることを可能にする。
サプライチェーン(取引先)のリスク
一部の高度なASMソリューションは、自社のIT資産だけでなく、主要な取引先・委託先の外部公開資産のリスク評価も提供する。取引先が管理する外部公開システムに重大な脆弱性が存在する場合、攻撃者がそこを踏み台にして自社への侵入を試みるリスクを事前に把握できる。
5. 主要ASMツール比較(国内外製品)
海外製ツール
ツール名 | 提供元 | 主な特徴 | 想定費用感(年間) |
|---|---|---|---|
Cortex Xpanse | Palo Alto Networks | 旧Expanse。世界最大規模のインターネットスキャンデータを保有。エンタープライズ向け機能が充実 | 数百万円〜 |
Censys ASM | Censys | 研究機関発のインターネットスキャンデータを活用。APIの柔軟性が高くセキュリティチーム主導での活用に向く | 数十万〜数百万円 |
Microsoft Defender EASM | Microsoft | Microsoft製品・Azure環境との親和性が高い。Microsoft 365 Defender統合環境での運用に適する | ライセンス体系による |
CrowdStrike Falcon Surface | CrowdStrike | EDRとの統合により、外部攻撃表面と内部エンドポイントの情報を連携。Falcon採用企業向け | 数百万円〜 |
Tenable ASM | Tenable | 脆弱性管理ツール(Tenable.io)との連携が強み。外部資産のCVEスコアリングに優れる | 数十万〜数百万円 |
国内製・国内展開が充実しているツール
ツール名 | 提供元 | 主な特徴 | 想定費用感(年間) |
|---|---|---|---|
yamory(ヤモリー) | Assurance | SCA(ソフトウェア構成分析)とASMを組み合わせたSaaS。日本語サポートが充実 | 数十万〜 |
Attack Surface Insight | NTTセキュリティ | 国内事情に合わせたASMサービス。ガイダンス対応支援も含む | 要問い合わせ |
Robinhood(ロビンフッド) | ゼロゼロワン | 日本語対応のASMプラットフォーム。中小〜中堅企業向けの料金体系 | 数十万〜 |
SecurityScorecard | SecurityScorecard | 自社・サプライチェーンのセキュリティスコアを数値化。取引先評価にも活用可能 | 数十万〜数百万円 |
NETSPI ASM | NetSPI(国内代理店経由) | ペネトレーションテストと組み合わせたASMサービスとして展開 | 要問い合わせ |
ツール選定の視点
ツール選定にあたっては以下の点を比較・確認することが重要だ。
資産発見のカバレッジ:どの種類の外部公開資産(ドメイン・IP・クラウドリソース等)を自動発見できるか。スキャンデータの鮮度(更新頻度)はどの程度か。
日本語サポート・日本語UIの有無:国内チームが日常的に操作するため、日本語の画面・アラート・サポート対応は実務上重要な要素だ。
既存ツールとの統合:SIEMやSOARとのAPI連携、ITSM(ServiceNow等)へのチケット自動起票など、既存セキュリティ運用基盤との親和性を確認する。
スコアリング・優先度付け機能:資産数が多くなれば、すべてのリスクに対処することは現実的でない。CVSSスコア、実際の露出度、資産の重要度を組み合わせたリスク優先度付けの精度が、日常運用のコストに直結する。
サプライチェーン評価機能:取引先・委託先のリスクスコアを把握できる機能が必要かどうかも検討点だ。
6. 導入の流れとステップ
ステップ1:現状把握と目標設定(〜1ヶ月)
最初に「なぜASMを導入するか」という目的と、最初に解決したい課題を明確にする。以下のような問いに答えることが出発点になる。
- 現在、外部公開IT資産の台帳はどの程度整備されているか
- シャドーITの存在規模を把握できているか
- サプライチェーン上の企業のリスク評価が求められているか
- 脆弱性診断は実施しているが、スコープ外資産の把握が課題になっているか
この段階でASMツールの種類(SaaS型のフルマネージドサービスか、API連携を前提とした高機能ツールか)を方針として固める。
ステップ2:PoC(概念実証)の実施(1〜2ヶ月)
複数のASMツールベンダーに無償トライアルまたはPoCを依頼し、自社環境での動作を確認する。PoCで確認すべき主なポイントは以下のとおりだ。
- 既知の外部公開資産が正しく発見されるか
- 知らなかった資産(シャドーIT等)が新たに発見されるか
- 誤検知(False Positive)の割合はどの程度か
- アラートの内容は現場の担当者が理解・対応できる粒度か
- 日本語対応・サポート品質は実運用に耐えるか
PoCを通じて「実際に動かしてわかったこと」が最終的なツール選定の根拠になる。
ステップ3:初期設定と資産台帳の整備(1〜2ヶ月)
本格導入後は、スキャン対象とする組織ドメイン・IP情報をツールに登録し、初回のフルスキャンを実施する。初回スキャンで大量の発見結果が出ることが多いが、まずは「クリティカルリスク」に絞って対応を優先する。
- 重大な脆弱性(CVSSスコア9以上)が存在する公開資産
- 管理者が把握していなかった公開サービス
- 証明書有効期限切れのサービス
- パブリックアクセス設定になっているクラウドストレージ
このフェーズで重要なのは「全件対応しようとしない」ことだ。最初から完璧を目指すと運用が続かない。高リスクから順に対処を進め、対応済みとしてマークするサイクルを回すことで、ツールへの習熟と資産台帳の整備を同時に進める。
ステップ4:継続的運用サイクルの確立(3ヶ月目以降)
初期対応が一段落したら、ASMの日常的な運用サイクルを確立する。
週次・月次の定例確認:新規発見資産、新規アラートの確認と担当チームへの共有。未対応リスクのステータス更新。
四半期ごとの棚卸し:廃止した資産の台帳からの除外、新たに追加されたサービスの登録漏れの確認。
年次レビュー:ツールのスコアリング基準・アラートの閾値の見直し。経営層への報告用サマリーの作成。
ASMは導入して終わりではなく、継続的に回すことに価値がある。特に「新しい脆弱性が公表されたとき、自社の外部公開資産のうち影響を受けるものがあるか、どれだけ早く把握できるか」という観点での効果が、時間をかけるほど明確に現れる。
ステップ5:脆弱性診断との組み合わせ運用
ASMで把握した外部公開資産のうち、リスクスコアが高い箇所や重要度の高いアプリケーションを対象に、従来型の脆弱性診断(Webアプリ診断・ペネトレーションテスト)を集中的に実施する体制を作る。
ASMが果たす役割:継続的な可視化・リスク優先度の決定 脆弱性診断が果たす役割:特定資産への深掘り調査・修正提案の詳細化
この組み合わせにより、診断リソースを効率的に配分しながら、外部公開資産全体のリスクを継続的にコントロールできる体制が実現する。
7. AEVUSの外部公開資産診断・ASM支援
AEVUSのアプローチ
AEVUSでは、ASMの観点を取り入れた外部公開資産診断と、ASMツール導入・運用の支援を提供している。
自社ツールやオープンソースのインターネットスキャンデータを活用し、対象組織の外部公開IT資産を発見・整理した上で、リスクが高い箇所を特定。その後、従来型の脆弱性診断・ペネトレーションテストへとシームレスに移行できる体制を整えている。
外部公開資産診断でできること
- 自組織のドメイン・サブドメイン・IPレンジに紐づく外部公開資産の洗い出し
- 開放ポート・露出サービスの確認(RDP・SSH・データベース等)
- クラウド設定ミス(S3パブリックアクセス等)の検出
- 管理者が把握していないシャドーIT資産の発見
- 発見した資産のリスク評価・優先度付けレポートの提供
想定される対象企業
- 定期的な脆弱性診断は実施しているが、スコープ外の資産が心配な企業
- クラウド環境の拡大・マルチクラウド化に伴い、資産管理が追いついていない企業
- M&A・グループ展開後に、買収先・子会社の外部公開資産を把握できていない企業
- 経産省ASMガイダンスへの対応が必要な企業
- 取引先・委託先からセキュリティ状況の開示を求められている企業
AEVUSへの相談
ASMの導入可否の検討段階から、具体的なツール選定・試行支援・外部公開資産診断まで、段階に応じた支援が可能だ。まず自社の外部公開資産の状況を把握したいという段階での相談も受け付けている。
詳細は外部公開資産診断・ペネトレーションテストサービスのページを参照いただくか、問い合わせフォームから直接相談いただきたい。
まとめ
ASM(Attack Surface Management)は、「自分たちがインターネット上に何を公開しているか」を継続的に把握し管理するためのアプローチだ。従来の脆弱性診断が「申告した資産の深掘り調査」であるのに対し、ASMは「まず資産を発見し、リスクを継続的に評価する」点で根本的に異なる。
経産省のガイダンス公表以降、日本企業においても導入が広がりつつあり、サプライチェーン管理の要件拡大も追い風になっている。ツールの選定にあたっては資産発見のカバレッジ・日本語サポート・既存ツールとの統合性が主な判断軸となる。
導入は「まず発見し、高リスクから対処する」という段階的なアプローチが現実的だ。ASMで全体を継続的に把握しながら、高リスク箇所には従来型の詳細診断を組み合わせることで、限られたリソースで外部公開資産のリスクを効率的にコントロールできる体制が作れる。
