最終更新日:2024-03-18
自社で把握しきれていないサーバーやネットワークにいたるまで、セキュリティ対策を強化したい方へ。IT資産のリスクの検出や評価を行うASMツールの機能や比較ポイントなどを解説します。
「ASM」とは「Attack Surface Management(攻撃対象領域の管理)」の略称であり、インターネットからアクセス可能、つまり、サイバー攻撃の対象となりえるIT資産を特定し、リスクの検出・評価を行う一連のプロセスのこと。
ASMツールは、攻撃者の視点から脆弱性診断では検出されにくいセキュリティ課題を発見。企業や組織のセキュリティ強化を支援するサービスです。
経済産業省「ASM導入ガイダンス」(2023年)によると、ASMツールは主に次の3つをサポート対象範囲としています。
| ① 攻撃面の発見 | 侵害リスクにさらされているIT資産の発見 |
|---|---|
| ② 攻撃面の情報収集 | ①で発見したIT資産に関する情報収集・可視化 |
| ③ 攻撃面のリスク評価 | 収集した情報をもとに脆弱性の程度を見極める |
上記のほかに、対応優先度の設定やシステムの脆弱性を検証する侵入テストの実施など、より実用的な機能を備えているツールもあります。
ASMツールは、以下のような場面で利用できます。
サイバー攻撃は日ごとに高度化し、対策もより困難に。以前はPCなどのエンドポイントが攻撃対象だったものが、今やサーバー、クラウドサービス、IoTデバイスなどデジタル資産全般にまで対象を拡大しています。
データの損失はもちろん、財務上の損失や社会的信頼の低下を防ぐ手段として、企業によるASMツールの導入は急速に進んでいます。
ツールによってできることは異なりますが、ASMツールは主に以下のような機能を搭載しています。
| 継続的な攻撃対象の検出 | ASMツールの中核となる機能。継続的にサイバーリスクを検出することで自社のセキュリティ状況を定量的に把握でき、各拠点の比較もしやすくなる |
|---|---|
| 情報収集 | 検出した攻撃対象について、どのルートから発見したかなどの情報を収集し、ダッシュボードで可視化。グラフやマッピングで情報をグラフィカルに表示し、セキュリティレベルをわかりやすくするツールも |
| リスク評価 | 問題の重要度やセキュリティ成熟度を判定する機能。すぐに悪用されるレベルか、将来的に悪用の可能性があるレベルかなど、様々な算出方法がある |
| リスクの優先順位付け | 評価したリスクに対して、対応優先度を示す機能。クリティカルな問題から優先的に対応できるようになるため、効率的な対策が進められる |
| 自動通知 | 検出した問題を、Eメールやチャットにより自動でアラート。 IT部門・セキュリティ対策チームの素早い初動につながる |
| 侵入テスト | 自社システムのセキュリティレベルを検証する「侵入テスト(ペネトレーションテスト)」を実施する機能。実際に攻撃を仕掛けることで、想定される攻撃点が割り出せる |
IT人材が不足している企業においても、ASMツールを利用すれば専門的な監視が可能に。また、IT資産の把握や情報収集、管理がしやすくなり、脆弱性への対応速度も向上。様々な損失を最小限に抑えられます。
ASMツールのタイプは、主に2つに分けられます。「攻撃対象の把握・管理に強みを持つタイプ」と「侵入テストにも対応しているタイプ」です。まずはそれぞれの特徴について解説します。
自社のIT資産に見落としがないか、システム全体を調査し、脆弱性の有無を把握・管理したい場合におすすめのタイプです。
クラウド活用が急速に進んだ昨今では、放置されてセキュリティ対策が手薄なIT資産が脅威の侵入口にされてしまいます。このタイプは、組織内に存在する未把握のサーバーやネットワーク機器などを見つけ出すとともに、定期的に脆弱性情報を提供することで、企業や組織のセキュリティ改善に貢献します。
たとえば「Cortex Xpanse」は、自社の環境全体を外部から継続的に監視し、サイバー攻撃の対象となる攻撃点を自動的に検出。攻撃者よりもいち早く脆弱性を発見し、リスクに対する先回りを可能にします。
IT資産の検出と脆弱性情報の収集・把握に加えて、脆弱性のリスク評価したい場合におすすめのタイプ。攻撃シミュレーション(ペネトレーションテスト)を実施することで、「実際に侵入できるか」「脆弱性がどれほどの危険をはらんでいるか」といったリスク評価を行えるので、対処すべき脆弱性の優先順位付けにも役立ちます。
たとえば「ULTRA RED」は、サイバー攻撃者が実際に使っている手法を用いて侵入シミュレーションを実施。脆弱性を明確に洗い出すだけでなく、対応すべき問題に優先順位を付けられます。
ASMツールを選ぶ際に留意したい、比較ポイントを紹介します。下記を参考に、自社に最適なツールを検討してみてください。
IT資産の発見は、経済産業省のASM導入ガイダンス資料にもある通り、通常は組織名やドメインなどをツールに入力して特定作業が行われます。しかし、どこまで検出できるかはサービスによって異なるので、事前に確認が必要です。
「GMOサイバー攻撃 ネットde診断」は、ドメイン名を登録するだけで脆弱性を可視化。意図せず開いているポートなどの情報に加え、攻撃方法や影響が公開されている「既知の脆弱性」も管理画面上で確認できます。
また「AEGIS-EW」も、使用しているドメイン名さえあれば、そこに紐づいた放置サーバーや脆弱性の検知が可能。開示済みIPアドレスやサブドメインも自動で検索されるため、管理にかかる工数が大幅に削減されます。
脆弱性が多数検出されても、すべてを対応するのは難しいもの。セキュリティ強化に伴う対応業務の負荷増大によって、IT部門やセキュリティチームを疲弊させないにためには、対応すべき課題の優先順位付け機能が重要となります。
たとえば「Tenable Attack Surface Management」では、脆弱性に自動で0〜10の評価を割り当てることで優先順位を決定。実際のリスクと理論上のリスクを識別するデータ分析によって、最初に対策すべき脆弱性を特定してくれます。
「CyCognito」は、攻撃者の偵察と同様の流れで監視し、検出したリスクを順位付け。加えて、「IT資産の発見されやすさ」を観点に取り入れたり、ネット上で日々収集する脆弱性情報を加味したりと、独自の診断要素を取り入れているのが特徴です。
また、「Mandiant Advantage Attack Surface Management」では、単なる優先順位付けだけでなく、緊急性のレベル分けも実施。クリティカルな問題から効率的に対応を進められるので、担当者の負担軽減に役立ちます。
ほとんどのASMツールが継続的なスキャニングや、新規追加されたIT資産の検出に対応しています。しかし、対象となるIT資産やスキャン頻度、把握できる情報はツールによって異なるので、事前チェックが必要です。
たとえば「ULTRA RED」では、追加・変更されたホスト、ドメイン、IPアドレスの自動検出が可能。未登録のPCやスマホも自動的にスキャンし、脆弱性の情報と併せて資産管理情報に追加します。
また、「Mandiant Advantage Attack Surface Management」は、リスクを検知したタイミングや、対象のドメインなどが作られた日時を表示。脆弱性に対する迅速な対応に役立ちます。その他、「ULTRA RED」のように、侵害されたアカウントを検出し、削除や修復アクションを促進するツールも。
(出所:Cortex Xpanse公式Webサイト)
インベントリ管理を自動化するクラウド型ASMサービス。未承認のIT資産を含め、インターネットに接続されたすべての資産を自動で検出し、攻撃点を外部から監視。これにより、攻撃者より先にリスクを把握し、サイバー攻撃の抑止と予防につなげられる。
また、自社だけではなく、サプライヤーや買収した企業のセキュリティチェックにも対応。組織の方針を踏まえ、公開されているIT資産のリスクや準拠状態を評価する。同社が提供しているXDR製品やSOAR製品などと組み合わせて利用すれば、より強固なセキュリティワークフローを構築できる。
(出所:Tenable Attack Surface Management公式Webサイト)
最も重大なリスクをひと目で把握できるようになるASMソリューション。200個以上のメタデータ項目に基づいた分析で、脆弱性に0〜10の評価を割り当て、対処すべきリスクに優先順位をつける。リスクを見やすい直感的なUIが特徴だ。
クラウド環境やリモートワーカーの資産などもリアルタイムで評価して、脆弱性を発見。異変があればすぐに通知が送信されるため、担当者の迅速な修復対応を後押しする。また、登録ドメインを起点として見つけ出した資産や脆弱性データは管理プラットフォームに連携され、ブラウザ上で簡単に確認・管理ができる。
(出所:CyCognito公式Webサイト)
攻撃者の先回りをして、効率的に攻撃の糸口を発見するクラウドサービス。攻撃者が行う偵察と同じ流れで、企業に関連するインターネット上の情報を監視し、見逃されがちなリスクも素早く検出する。
診断後はリスクの規模だけではなく、「資産の発見されやすさ」を踏まえて、脆弱性を自動で順位付け。診断結果と共に解決策を提示してくれるため、担当者の負担を大幅に削減できる。また、インターネット上で日々新たな脆弱性の情報を収集し、常に最新の情報をもとに検出・診断を行っているのも特徴だ。
(出所:Mandiant Advantage Attack Surface Management公式Webサイト)
企業の煩雑なセキュリティ対策を包括的に支援するツール。システムの拡散やインフラの孤立で膨大になったIT資産を継続的に監視し、変化やリスクを検知する。管理画面では検知のタイミングや対象のドメインが作られた時期といった日時を表示することで、問題の把握と対処を行いやすくしている。
リスクを提示する際には、緊急性の高いものだけでなく、将来的に悪用される可能性がある攻撃点も対象に含める。研究機関のレポートや検出までの経緯を根拠として提示してくれるため、担当者は納得感を持って対応できる。
(出所:GMOサイバー攻撃 ネットde診断公式Webサイト)
安価かつ手軽にWebサイトの脆弱性診断ができる国産ASMツール。ドメイン名を入力するだけで、いつでも脆弱性の可視化と対策案の確認ができる。管理画面では問診結果を5段階のレーダーチャートで表示するため、一目でセキュリティ状況を把握しやすく便利だ。
常に状況を把握しておきたいサイトを事前に登録しておけば、週1回のペースで自動スキャンを実施。重大な脆弱性が発見された場合には自動でメール通知するほか、モニタリング中の最新結果も月1回まとめて報告を受けられる。定期レポート作成の効率化に有用だ。
(出所:ULTRA RED公式Webサイト)
高精度の攻撃エミュレーション技術を利用してセキュリティ対策を行うソリューション。サイバーセキュリティにおいて世界屈指の技術力を誇るイスラエルで、サイバー対策に特化したエンジニアたちの経験を活用。実例に基づいた攻撃者の戦術、技術、手順を再現している。そのため、脆弱性の有無と侵入の可能性を的確に診断する。
追加・変更されたホストやドメイン、IPアドレスも自動で検出できるほか、必要な情報がすべて統合されるため、担当者の見逃し防止に有効だ。また、過去10年以上の脆弱性情報を蓄積しており、脅威情報を常にアップデートしている点も心強い。
(出所:AEGIS-EW公式Webサイト)
放置されたサーバーの検出に強みを持つASMツール。ドメイン名さえあれば、認知から外れてしまったホームページやメールサーバーなどを総合的に検出・診断できる。開示IPアドレスやサブドメインは自動で検索されるため、社内に存在するすべてのインターネットサービスのスキャンが可能だ。
侵入テストでは、該当の端末に攻撃パターンを仕掛けて、自社システムの脆弱性を詳細に検証。予想される攻撃への対策方法が明確になる。検出したリスクはグラフや色分けでわかりやすく表示されるため、専門知識がなくとも自社の状況を一目で把握できる。
クラウド環境やリモートワークなどの普及に伴って、企業や組織のIT資産が攻撃されるリスクは急激に増加しています。サイバー攻撃が巧妙化し、増大している中で、IT資産のセキュリティ強化を図るASMツールは不可欠な存在です。
ASMツールを導入する際には、「攻撃対象の把握・管理に強み」「侵入テストにも対応」の2つのタイプを把握し、次の観点で比較検討することが大切です。
(1) 検出可能な範囲
(2) 脆弱性の優先順位付け機能の充実度
(3) 継続的なモニタリング機能とその柔軟性
ASMツールを導入すれば、侵害リスクにさらされているIT資産の発見を網羅的に行い、リスクを見極め、継続的に監視していくサイクルを自動で実施できます。また、洗い出した脆弱性に対して積極的な修復アクションにつなげていくことも可能に。
被害発生前に自社のセキュリティ課題を発見できれば、先手を打ったリスク対応が可能になります。IT部門あるいはセキュリティチームの負荷軽減やコスト削減といった効果も見込めます。セキュリティ対策強化のために、ぜひASMツールの導入を検討してみてください。
このページの内容をシェアする
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
サービスの導入検討状況を教えてください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
