経済産業省が導入ガイダンスをリリース。ASM（Attack Surface Management）とは

経済産業省がASM（Attack Surface Management）をセキュリティ戦略に組み込んだ活用を促すための導入ガイダンスを発表しました。この記事ではASMについての解説となぜ企業のセキュリティ対策にASMが注目されているのかを解説します。

ASM（Attack Surface Management）とは？

　経済産業省が5月29日に【外部から把握出来る情報を用いて自組織の IT 資産を発見し管理する】と題して、ASM（Attack Surface Management）をセキュリティ戦略に組み込んだ活用を促すための導入ガイダンスを発表しました。
”「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました。”　
出典：経済産業省ウェブサイト
 https://www.meti.go.jp/press/2023/05/20230529001/20230529001-a.pdf

　この記事ではASMについての解説となぜ企業のセキュリティ対策にASMが注目されているのかを解説します。

　ASMとは、『外部から攻撃され得る弱点にあたる資産を洗い出す』セキュリティ耐性の改善に有用なセキュリティアプローチです。ASMは、外部からアクセス可能な資産情報を洗い出し、資産に存在する脆弱性を継続的に検知して改善すべき箇所として継続的に提示します。継続的に検知を行い改善していくことが、弱点を減らすことに繋がり、被害を受ける可能性を減らすことができます。

　ここで大事なのは、“継続”というキーワードです。新しいシステムの導入や、新しい脆弱性など、日々変化するネットワーク環境、セキュリティ環境に対して、一時的なスナップショット的な情報は、意味を持たなくなっています。しかし、このように変化の激しい状況で、自社の状況を継続して把握するのは非常に困難です。そのために把握ではなく、断定をすることしかできないために、認識と実態にギャップが生まれてしまっている企業も多いかと思います。この断定を根拠のある把握にするために継続的な可視化ができるASMは非常に有用です。

　しかし、ASMも完璧ではありません。

　ASMは外部からアクセス可能なIT資産を可視化できますが、実際に攻撃者が対象にするかどうかは別のため、攻撃に使われる対象なのか判断する必要があります。

　実際の攻撃に対象とされるものは、攻撃者からみて攻撃に使いやすいかどうかです。つまり、アクセスできる対象があり、その対象に脆弱性があり、脆弱性を悪用できる攻撃手法があることで、攻撃の対象になると考えます。

ASMの欠点を補う「Pentera（ペンテラ）」

これらのASMの欠点を補うPenteraというソリューションがあります。

　Penteraはイスラエルのベンダーが提供しているソリューションで、Automated Security Validation（ASV）として、自動セキュリティ診断プラットフォームを提供しています。対象に対して実際に攻撃を安全に行い、攻撃に使われやすい脆弱性がないかを継続的に可視化できるソリューションです。このソリューションは、自動化の範囲が広く、セキュリティ知識に自信がない方でも運用ができるよう設定や、GUIが非常にシンプルです。また、エージェントレスのため、利用時にシステム変更も不要で非常に運用、導入負荷の少ないソリューションです。