経産省が攻撃対象領域管理（ASM）の導入ガイダンスを公開 取り組み事例も紹介

経産省は「ASM（Attack Surface Management）導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」を公開した。攻撃対象領域管理を導入する際の注意点や取り組み事例をまとめている。

[田渕聖人，ITmedia]

　経済産業省（以下、経産省）は2023年5月29日、「ASM（Attack Surface Management）導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」を発表した。

　近年、サイバー攻撃から自社のIT資産を守る手法として「ASM（Attack Surface Management）」（アタックサーフェス管理《攻撃対象領域管理》）が注目されている。今回発表された資料は、自社のセキュリティ戦略に組み込み適切に活用できるように、ASMの基本的な考え方や特徴、留意点といった基本情報とともに取組事例などを紹介したものだ。

経産省は「ASM（Attack Surface Management）導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」を公開した（出典：経産省のWebサイト）

攻撃対象領域管理における導入ガイダンスのポイントは？

　経産省によると、サイバー攻撃の増加に伴い、企業は自社が保有するIT資産を適切に管理してリスクを洗い出すことが求められている。しかしマンパワーによる管理では、システム管理部門が状況を把握しきれないシステムが生じたり、機器の設定も見えにくかったりするなど課題が多く存在する。

　こうした背景もあり最近、インターネットに公開されているサーバやネットワーク機器、IoT機器の情報を収集、分析することで不正侵入経路となり得るポイントを把握するASMのニーズが高まっている。

　「ASM（Attack Surface Management）導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」は、ASMについて民間事業者における利用実態を明らかにし、関連する各種ツールやサービスの特徴や活用方法について整理し、ガイダンスとして取りまとめた資料だ。

　同資料のポイントは以下の通りだ。

• ASMは、組織の外部からアクセス可能なIT資産を発見し、それらに存在する脆弱（ぜいじゃく）性などのリスクを継続的に検出、評価する一連のプロセス
• ASMの継続的な実施によって、組織管理者の未把握の機器や意図しない設定ミスを攻撃者視点で発見でき、脆弱性管理活動におけるリスク低減の効果が期待される
• ASMはリスク低減効果が期待される一方で、収集、分析する情報の不確実性など、実施にあたっての留意点が存在する
• ASMの導入を検討している企業に向けて、ASMの基本的な考え方や特徴、留意点などの基本情報に加え、取組事例をまとめている