top of page

【CSIJコラム10(2023,7,26)】

「ASMとは何か ~情報セキュリティ対策の死角をなくそう~」

 

エムオーテックス株式会社                                    
プロフェッショナルサービス本部 エキスパート
小関 直樹

 

 先日、我が家に市税事務所から郵便物が届きました。恐る恐る開けてみると、中身は納税通知書でした。年度内に、給与天引きとは別にウン十万円の市民税を納めなければならないようです。今年こそと思っていたシンガポール旅行を取りやめて、iPhoneの機種交換も先送りしないといけないかもしれません。全く想定していなかった出費ですのでこれは痛い。痛すぎます。


 情報セキュリティに関しても、思いもかけない死角からサイバー攻撃を受けると、対応が後手に回ったり、被害が大きくなったりするものです。というわけで、今回はASMという概念をご紹介します。

 5月29日に、経済産業省が「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(以下、「ガイダンス」といいます。)を公開しました。これは、「ASMの基本的な考え方や特徴、留意点などの基本情報とともに取組事例などを紹介した」ものとされています。

  外部サイト(経済産業省):

  https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

 「ASM」という言葉は、ここ数年よく目にするようになりました。
 まず「AS(Attack Surface)」ですが、日本語では「攻撃面」や「攻撃対象領域」と訳されます。攻撃者から見て攻撃可能なポイントを指すもので、PCやモバイル端末、サーバ、VPN機器、クラウドサービス、IoT機器などが挙げられます。ガイダンスでは、ASを「組織の外部(インターネット)からアクセス可能なIT資産のこと。」と、やや狭義に定義しています。
 そして 「ASM(Attack Surface Management)」とは、ASを管理することです。ガイダンスでは、「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」と定義しています。

 IT資産管理と似ていると思われた方もいるかもしれません。たしかに、IT資産管理とASMは近い関係にあります。しかし、IT資産管理は必ずしも機械的に行えない場合があり、システム管理者やサーバ管理者の申告ベースでは、漏れがあっても気づく術がありません。ASMには、IT資産管理から漏れているASを見つけ出すことや、ASを小さくするための対策を継続的に行うことに、その特徴や有用性があります。ASを洗い出した上で、そこに存在する脆弱性への対応も行うことから、IT資産管理と脆弱性管理を補完する取り組みとも言えるでしょう。

 では、どのようなものが未把握のASとなりやすいのでしょうか。ガイダンスでは、例として、キャンペーン活動などに利⽤するWebサイトや、設定ミスなどにより外部(インターネット)からアクセス可能な状態となっている社内システム、また統制上の課題や地理的な要因によって本社で⼀元的に管理できていないグループ企業のIT資産などが挙げられています。
 筆者自身もお客様先で、何年も前に部門が独自に構築し、存在も忘れられていたキャンペーンサイトが、攻撃を受けた事例に遭遇したことがあります。また、海外を含めたグループ企業に対するセキュリティ統制の難しさも、日々感じるところです。

 上に挙げたような死角があるかもしれないと不安を覚えた方は、ガイダンスを一読され、ASMを実施してみることをお勧めします。 自組織だけでなく、グループ企業やサプライチェーン(外部委託先や取引先など)も含めて実施すると、より万全でしょう。
 ガイダンスにもあるとおり、ASMは「専用のツールやサービスを活用して実施することが⼀般的」です。具体的には、組織のもつグローバルIPアドレスやドメインをもとに、インターネット上からIT資産の洗い出しを行います。
 エムオーテックス株式会社では、ASMに利用できるツール「Panorays」をご提供しています。Panoraysは、同種のツールの中で唯一GUIが日本語に対応しており、簡単な操作で、組織がもつインターネット上の未把握のASを洗い出し、それらのリスクを評価することができます。こちらからお気軽にお問い合わせください。

​  外部サイト(MOTEX):

  https://www.lanscope.jp/professional-service/service/product/panorays/

 思いもかけない市民税の追加課税を経験し、猛暑の中で冷や汗をかくと同時に、想定外の攻撃によるダメージの大きさを身をもって痛感しました。個人でも組織でも、死角をなくしておくことの重要性をご認識いただければ幸いです。

bottom of page