未知の侵入経路が放置されていたとしら？きちんと対策！アタックサーフェス管理（ASM）

はい、こんにちは。松井真也です。『ゼロトラスト用語辞典シリーズ』と題してブログを更新しております

今回のテーマは、「ASM」（Attack Surface Management）です。アタックサーフェスは、一言で言えば攻撃のとっかかりとなる入口のことです。これらのを管理することこそ、システムなどを攻撃から守るために不可欠でございます。

2023年5月、経済産業省は、「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を公表してASMの導入を促しているのですよ。これは注目ですね。

さっそく見ていきましょう！

アタックサーフェスとは？

まずアタックサーフェスとは何でしょう？「攻撃の表面」と訳せそうですが、イメージはどちらかというと「攻撃者が侵入可能な外部との境界面」です。

このアタックサーフェスは、DXやテレワークの影響で、クラウドサービス、リモートデスクトップ、VPNなど以前に比べて種類も量も増えています。

なお、先日、知人が、自動運転車は機能が多く、アタックサーフェスがたくさんあって防御がなかなか大変だ…と話ていました。CDやBluetoothとか…確かにそうですね。面白い。

アタックサーフェスマネジメント（ASM）を行う目的

では、アタックサーフェスマネジメント（ASM）とは何でしょうか。

これは、組織内のすべてのデジタル資産を可視化し、継続的に監視することで、攻撃者の視点から見てアタックサーフェスに関するリスクを軽減する取り組みです。

具体的には、まずは攻撃のとっかかりとなりえるデジタル資産の数や種類、関連情報（例えばOSバージョンやホスト名など）を最新の状態で収集し、可視化しておきます。

これにより、どの資産が攻撃に対して脆弱であるかを評価して把握し、適切なセキュリティ対策を講じていきます！

ASM導入の課題

ASMを実施するにはいくつかの課題があります。

まず、情報資産が多すぎることです。こんにち、IT資産の全体像を把握するのは難しく、部分的な情報に頼ることが多いです。

また、継続的に管理するためのリソースが不足していることです。多くの組織では、セキュリティ管理に必要な人材や技術が不足しています。おたくもですか？

これらの課題をどう克服すればいいのか…。

自動化や定期的な調査が必要だ

そこで、ASMの重要になるのは「自動化」です。

手動のみでの管理は時間や労力がかかり現実的でありません。自動化技術を活用することで、効率的にアタックサーフェスが管理できます。

果たしてASMツールで何が自動化できるでしょうか。

まずは上に述べた通り、資産の可視化です。組織内の攻撃対象となりえるデジタル資産の数や種類、関連情報を最新の状態で収集し、可視化します。次に、脆弱性の検出です。デジタル資産に存在する脆弱性やセキュリティ設定の不備を検出し、可視化していきます。

これらのツールを自社で利用する、あるいは、事業者に外注して定期的に調査を実施してもらい、報告を受けて対策を講じるという流れになります。

はい、本日はここまで。今回は「ASM」についてお話ししました。さわりだけですけれども。さらに興味のある方は、上記の経産省の資料をご覧ください。とても分かりやすく整理されています。

では！