最終更新日:2024-11-08
自社で把握しきれていないサーバーやネットワークにいたるまで、セキュリティ対策を強化したい方へ。IT資産のリスクの検出や評価を行うASMツールの機能や比較ポイントなどを解説します。
「ASM」とは「Attack Surface Management(攻撃対象領域の管理)」の略称であり、インターネットからアクセス可能、つまり、サイバー攻撃の対象となりえるIT資産を特定し、リスクの検出・評価を行う一連のプロセスのこと。
ASMツールは、攻撃者の視点から脆弱性診断では検出されにくいセキュリティ課題を発見。企業や組織のセキュリティ強化を支援するサービスです。
経済産業省「ASM導入ガイダンス」(2023年)によると、ASMツールは主に次の3つをサポート対象範囲としています。
| ① 攻撃面の発見 | 侵害リスクにさらされているIT資産の発見 |
|---|---|
| ② 攻撃面の情報収集 | ①で発見したIT資産に関する情報収集・可視化 |
| ③ 攻撃面のリスク評価 | 収集した情報をもとに脆弱性の程度を見極める |
上記のほかに、対応優先度の設定やシステムの脆弱性を検証する侵入テストの実施など、より実用的な機能を備えているツールもあります。
ASMツールは、以下のような場面で利用できます。
サイバー攻撃は日ごとに高度化し、対策もより困難に。以前はPCなどのエンドポイントが攻撃対象だったものが、今やサーバー、クラウドサービス、IoTデバイスなどデジタル資産全般にまで対象を拡大しています。
データの損失はもちろん、財務上の損失や社会的信頼の低下を防ぐ手段として、企業によるASMツールの導入は急速に進んでいます。
ASMツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“ASMツール”の 一括資料ダウンロードする(無料)
ツールによってできることは異なりますが、ASMツールは主に以下のような機能を搭載しています。
| 継続的な攻撃対象の検出 | ASMツールの中核となる機能。継続的にサイバーリスクを検出することで自社のセキュリティ状況を定量的に把握でき、各拠点の比較もしやすくなる |
|---|---|
| 情報収集 | 検出した攻撃対象について、どのルートから発見したかなどの情報を収集し、ダッシュボードで可視化。グラフやマッピングで情報をグラフィカルに表示し、セキュリティレベルをわかりやすくするツールも |
| リスク評価 | 問題の重要度やセキュリティ成熟度を判定する機能。すぐに悪用されるレベルか、将来的に悪用の可能性があるレベルかなど、様々な算出方法がある |
| リスクの優先順位付け | 評価したリスクに対して、対応優先度を示す機能。クリティカルな問題から優先的に対応できるようになるため、効率的な対策が進められる |
| 自動通知 | 検出した問題を、Eメールやチャットにより自動でアラート。 IT部門・セキュリティ対策チームの素早い初動につながる |
| 侵入テスト | 自社システムのセキュリティレベルを検証する「侵入テスト(ペネトレーションテスト)」を実施する機能。実際に攻撃を仕掛けることで、想定される攻撃点が割り出せる |
IT人材が不足している企業においても、ASMツールを利用すれば専門的な監視が可能に。また、IT資産の把握や情報収集、管理がしやすくなり、脆弱性への対応速度も向上。様々な損失を最小限に抑えられます。
ASMツールのタイプは、主に2つに分けられます。「攻撃対象の把握・管理に強みを持つタイプ」と「侵入テストにも対応しているタイプ」です。まずはそれぞれの特徴について解説します。
自社のIT資産に見落としがないか、システム全体を調査し、脆弱性の有無を把握・管理したい場合におすすめのタイプです。
クラウド活用が急速に進んだ昨今では、放置されてセキュリティ対策が手薄なIT資産が脅威の侵入口にされてしまいます。このタイプは、組織内に存在する未把握のサーバーやネットワーク機器などを見つけ出すとともに、定期的に脆弱性情報を提供することで、企業や組織のセキュリティ改善に貢献します。
たとえば「Cortex Xpanse」は、自社の環境全体を外部から継続的に監視し、サイバー攻撃の対象となる攻撃点を自動的に検出。攻撃者よりもいち早く脆弱性を発見し、リスクに対する先回りを可能にします。
「Shisho Cloud」では、クラウドからWebまで24時間自動で脆弱性診断が可能。リスクを早期発見し、「なぜ修正が必要か」「どのように修正すべきか」をレポートで把握できるため、修正・改善までをスムーズにできます。
IT資産の検出と脆弱性情報の収集・把握に加えて、脆弱性のリスク評価したい場合におすすめのタイプ。攻撃シミュレーション(ペネトレーションテスト)を実施することで、「実際に侵入できるか」「脆弱性がどれほどの危険をはらんでいるか」といったリスク評価を行えるので、対処すべき脆弱性の優先順位付けにも役立ちます。
たとえば「ULTRA RED」は、サイバー攻撃者が実際に使っている手法を用いて侵入シミュレーションを実施。脆弱性を明確に洗い出すだけでなく、対応すべき問題に優先順位を付けられます。
ASMツールを選ぶ際に留意したい、比較ポイントを紹介します。下記を参考に、自社に最適なツールを検討してみてください。
IT資産の発見は、経済産業省のASM導入ガイダンス資料にもある通り、通常は組織名やドメインなどをツールに入力して特定作業が行われます。しかし、どこまで検出できるかはサービスによって異なるので、事前に確認が必要です。
「GMOサイバー攻撃ネットde診断ASM」は、ドメイン名を登録するだけで脆弱性を可視化。意図せず開いているポートなどの情報に加え、攻撃方法や影響が公開されている「既知の脆弱性」も管理画面上で確認できます。
「AEGIS-EW」も、使用しているドメイン名さえあれば、そこに紐づいた放置サーバーや脆弱性の検知が可能。開示済みIPアドレスやサブドメインも自動で検索されるため、管理にかかる工数が大幅に削減されます。
「Securify ASM」では、ドメインやグローバルIPをはじめ、クラウドリソースを含めた外部資産の自動棚卸が可能。ダッシュボード上で各エンドポイントを公開パートごと・テクノロジーごとにわかりやすく表示できるだけでなく、緊急度の高い脆弱性を検知した場合はメール通知もできるため、対応優先度の判別に困りません。
脆弱性が多数検出されても、すべてを対応するのは難しいもの。セキュリティ強化に伴う対応業務の負荷増大によって、IT部門やセキュリティチームを疲弊させないにためには、対応すべき課題の優先順位付け機能が重要となります。
たとえば「Tenable Attack Surface Management」では、脆弱性に自動で0〜10の評価を割り当てることで優先順位を決定。実際のリスクと理論上のリスクを識別するデータ分析によって、最初に対策すべき脆弱性を特定してくれます。
「CyCognito」は、攻撃者の偵察と同様の流れで監視し、検出したリスクを順位付け。加えて、「IT資産の発見されやすさ」を観点に取り入れたり、ネット上で日々収集する脆弱性情報を加味したりと、独自の診断要素を取り入れているのが特徴です。
また、「Mandiant Advantage Attack Surface Management」では、単なる優先順位付けだけでなく、緊急性のレベル分けを実施。「Macnica Attack Surface Management」の場合は、リスク指標や対応優先度に加えて、専門家によるコメントも提供していることが特徴です。クリティカルな問題から効率的に対応を進められるので、担当者の負担軽減に役立ちます。
ほとんどのASMツールが継続的なスキャニングや、新規追加されたIT資産の検出に対応しています。しかし、対象となるIT資産やスキャン頻度、把握できる情報はツールによって異なるので、事前チェックが必要です。
たとえば「ULTRA RED」では、追加・変更されたホスト、ドメイン、IPアドレスの自動検出が可能。未登録のPCやスマホも自動的にスキャンし、脆弱性の情報と併せて資産管理情報に追加します。
また、「Mandiant Advantage Attack Surface Management」は、リスクを検知したタイミングや、対象のドメインなどが作られた日時を表示。脆弱性に対する迅速な対応に役立ちます。その他、「ULTRA RED」のように、侵害されたアカウントを検出し、削除や修復アクションを促進するツールも。
“ASMツール”の 一括資料ダウンロードする(無料)
(出所:Shisho Cloud公式Webサイト)
専門知識やトレーニング不要で、Web・クラウドのリスク管理を一元化できる脆弱性診断ツール。OWASPが提供する業界標準や診断実績をもとに高度なクローリングができる「Webアプリケーション診断機能」、クラウド資産を一覧化してCIS等が定めるベストプラクティスに基づいているかを診断する「クラウド診断機能(CSPM)」を搭載し、社内全体のリスクコントロールを支援する。画面ごとに複雑なシナリオ設定をする必要はなく、URLやAPI情報、クラウド情報を連携するだけで最短10分で診断開始。一度設定すれば24時間自動診断できるため、運用工数がかからないのもうれしい。
診断結果はレポートで可視化され、「なぜ修正が必要か」「どのように修正すべきか」などを分かりやすく解説。関係者や担当者にも簡単に共有できるため、修正・改善までのアクションを最短化できる。
(出所:GMOサイバー攻撃ネットde診断ASM公式Webサイト)
コストを抑えつつ効率的にWebサイト等の脆弱性診断ができるASMツール。プラットフォーム、Webアプリ、CMSなど幅広く対応できることが特徴。ドメイン名を入力するだけで、いつでも脆弱性の可視化と対策案の確認ができる。管理画面では問診結果を5段階のレーダーチャートで表示するため、一目でセキュリティ状況を把握しやすく便利だ。
常に状況を把握しておきたいサイトを事前に登録しておけば、週1回のペースで自動スキャンを実施。重大な脆弱性が発見された場合には自動でメール通知するほか、モニタリング中の最新結果も月1回まとめて報告を受けられる。定期レポート作成の効率化に有用だ。
(出所:Macnica Attack Surface Management公式Webサイト)
網羅性と精度にこだわって調査ができるASMツール。OSINT手法とマクニカ独自のナレッジを用いて、インターネットからアクセス可能なIT資産を攻撃者と同じ視点で調査し、未把握の資産やシャドーITも含めてサイバー攻撃のリスクを評価。通常アクセスに限った調査手法で、海外拠点や関連会社と事前調整は不要だ。ノイズの少ない調査結果にも強みがあり、膨大なリスク情報を専門家による手動調査も取り入れて選別するため、自動検知でありがちな誤検知や見落としを抑制できる。
悪用の可能性が高い現実的なリスクに基づいた緊急度・優先度に加え、リアルタイムの脅威情報や専門家コメントも提供し、セキュリティ担当者の判断をサポート。また、検出情報を継続的に監視できるポータル機能を搭載し、新規アセットの発見からセキュリティ状態まで一元的に把握できる。
(出所:Securify ASM公式Webサイト)
外部公開資産の把握・管理から脆弱性診断まで一元化できるASMツール。攻撃対象となるドメインから把握していない外部公開資産がないか、自動で棚卸を実行。組織内のドメインやグローバルIPはもちろん、管理対象として漏れがちなクラウドリソースまで網羅的に把握・管理が可能だ。「ドメインがどのグローバルIPやクラウドリソースに紐づいているか」をダッシュボード上で網羅的に確認できるのもうれしい。アラート通知機能も搭載し、緊急度の高い脆弱性が公表されるとメールで通知するため、タイムリーなリスク回避につながる。
「Webアプリケーション診断」機能と連携することで、脆弱性診断もまとめて実施可能。診断結果のレポート画面では、検出した脆弱性の危険度や修正方法の例示などを日本語でわかりやすく解説しているため、専門知識がなくてもスピーディーに対応できる。
(出所:Cortex Xpanse公式Webサイト)
インベントリ管理を自動化するクラウド型ASMサービス。未承認のIT資産を含め、インターネットに接続されたすべての資産を自動で検出し、攻撃点を外部から監視。これにより、攻撃者より先にリスクを把握し、サイバー攻撃の抑止と予防につなげられる。
また、自社だけではなく、サプライヤーや買収した企業のセキュリティチェックにも対応。組織の方針を踏まえ、公開されているIT資産のリスクや準拠状態を評価する。同社が提供しているXDR製品やSOAR製品などと組み合わせて利用すれば、より強固なセキュリティワークフローを構築できる。
(出所:Tenable Attack Surface Management公式Webサイト)
最も重大なリスクをひと目で把握できるようになるASMソリューション。200個以上のメタデータ項目に基づいた分析で、脆弱性に0〜10の評価を割り当て、対処すべきリスクに優先順位をつける。リスクを見やすい直感的なUIが特徴だ。
クラウド環境やリモートワーカーの資産などもリアルタイムで評価して、脆弱性を発見。異変があればすぐに通知が送信されるため、担当者の迅速な修復対応を後押しする。また、登録ドメインを起点として見つけ出した資産や脆弱性データは管理プラットフォームに連携され、ブラウザ上で簡単に確認・管理ができる。
(出所:CyCognito公式Webサイト)
攻撃者の先回りをして、効率的に攻撃の糸口を発見するクラウドサービス。攻撃者が行う偵察と同じ流れで、企業に関連するインターネット上の情報を監視し、見逃されがちなリスクも素早く検出する。
診断後はリスクの規模だけではなく、「資産の発見されやすさ」を踏まえて、脆弱性を自動で順位付け。診断結果と共に解決策を提示してくれるため、担当者の負担を大幅に削減できる。また、インターネット上で日々新たな脆弱性の情報を収集し、常に最新の情報をもとに検出・診断を行っているのも特徴だ。
(出所:Mandiant Advantage Attack Surface Management公式Webサイト)
企業の煩雑なセキュリティ対策を包括的に支援するツール。システムの拡散やインフラの孤立で膨大になったIT資産を継続的に監視し、変化やリスクを検知する。管理画面では検知のタイミングや対象のドメインが作られた時期といった日時を表示することで、問題の把握と対処を行いやすくしている。
リスクを提示する際には、緊急性の高いものだけでなく、将来的に悪用される可能性がある攻撃点も対象に含める。研究機関のレポートや検出までの経緯を根拠として提示してくれるため、担当者は納得感を持って対応できる。
“ASMツール”の 一括資料ダウンロードする(無料)
(出所:イージスEW公式Webサイト)
放置されたサーバーの検出に強みを持つASMツール。メインドメイン1つから、認知から外れてしまったホームページやメールサーバーなどを総合的に検出・診断できる。開示IPアドレスやサブドメインは自動で検索されるため、社内に存在するすべてのインターネットサービスのスキャンが可能だ。
侵入テストでは、該当の端末に攻撃パターンを仕掛けて、自社システムの脆弱性を詳細に検証。予想される攻撃への対策方法が明確になる。検出したリスクはグラフや色分けでわかりやすく表示されるため、専門知識がなくとも自社の状況を一目で把握できる。
(出所:ULTRA RED公式Webサイト)
高精度の攻撃エミュレーション技術を利用してセキュリティ対策を行うソリューション。サイバーセキュリティにおいて世界屈指の技術力を誇るイスラエルで、サイバー対策に特化したエンジニアたちの経験を活用。実例に基づいた攻撃者の戦術、技術、手順を再現している。そのため、脆弱性の有無と侵入の可能性を的確に診断する。
追加・変更されたホストやドメイン、IPアドレスも自動で検出できるほか、必要な情報がすべて統合されるため、担当者の見逃し防止に有効だ。また、過去10年以上の脆弱性情報を蓄積しており、脅威情報を常にアップデートしている点も心強い。
クラウド環境やリモートワークなどの普及に伴って、企業や組織のIT資産が攻撃されるリスクは急激に増加しています。サイバー攻撃が巧妙化し、増大している中で、IT資産のセキュリティ強化を図るASMツールは不可欠な存在です。
ASMツールを導入する際には、「攻撃対象の把握・管理に強み」「侵入テストにも対応」の2つのタイプを把握し、次の観点で比較検討することが大切です。
(1) 検出可能な範囲
(2) 脆弱性の優先順位付け機能の充実度
(3) 継続的なモニタリング機能とその柔軟性
ASMツールを導入すれば、侵害リスクにさらされているIT資産の発見を網羅的に行い、リスクを見極め、継続的に監視していくサイクルを自動で実施できます。また、洗い出した脆弱性に対して積極的な修復アクションにつなげていくことも可能に。
被害発生前に自社のセキュリティ課題を発見できれば、先手を打ったリスク対応が可能になります。IT部門あるいはセキュリティチームの負荷軽減やコスト削減といった効果も見込めます。セキュリティ対策強化のために、ぜひASMツールの導入を検討してみてください。
ASMツールをお探しの方は、こちらからサービス紹介資料をダウンロードいただけます。
“ASMツール”の 一括資料ダウンロードする(無料)
株式会社Flatt Security
専門知識がなくてもWeb・クラウドのリスク管理ができる脆弱性診断ツール。24時間の自動診断やレポート自動作成が可能。リスク判断~修正のアクションを最短化します。...
GMOサイバーセキュリティbyイエラエ株式会社
世界No.1(※)ホワイトハッカーの知見を詰め込んだASMツールです。全社的な脆弱性管理の効率化におすすめ。外部からの攻撃面になる未把握のIT資産を発見し、組織...
Macnica Attack Surface Management
株式会社マクニカ
OSINT手法と独自ナレッジによる調査が強みのASMツール。専門家の手動調査と目視確認も行い、ノイズが少ない調査結果で効率的なセキュリティ対策をサポートします。...
株式会社スリーシェイク
外部公開資産の把握・管理から脆弱性診断まで一気通貫で実施できるASMツール。クラウドリソースを含め網羅的に棚卸しでき、セキュリティ強化と継続的な運用を支援します...
記事をシェア
<重要なお知らせ> サイトリニューアルに伴い、初回ログインにはパスワードの再設定が必要です。
アスピックご利用のメールアドレスを入力ください。
パスワード再発行手続きのメールをお送りします。
パスワード再設定依頼の自動メールを送信しました。
メール文のURLより、パスワード再登録のお手続きをお願いします。
ご入力いただいたメールアドレスに誤りがあった場合がございます。
お手数おかけしますが、再度ご入力をお試しください。
ご登録いただいているメールアドレスにダウンロードURLをお送りしています。ご確認ください。
サービスの導入検討状況を教えて下さい。
本資料に含まれる企業(社)よりご案内を差し上げる場合があります。
