外部アタックサーフェス管理が大失敗する三大要因とは？：セキュリティニュースアラート

コンピュータ情報サイト「Security Boulevard」は外部アタックサーフェス管理（EASM）プロジェクトの失敗につながる3つの落とし穴を解説した。

[後藤大地，有限会社オングス]

　コンピュータ情報サイト「Security Boulevard」は2025年5月5日（現地時間）、外部アタックサーフェス管理（EASM）プロジェクトの失敗につながる3つの落とし穴を紹介した。

　EASMは組織の外部から見える資産を継続的に洗い出し、それらの脆弱（ぜいじゃく）性を評価する製品や考え方だ。GartnerはEASMを「エクスポージャー管理戦略の柱」として推奨しており、攻撃を受ける前にリスクを把握することが組織の防御力強化につながると指摘している。

　CyCognitoは過去5年間にわたり数千の組織と数百万の資産に対してEASMを導入した経験に基づき、プロジェクトが失敗する3つの主要な原因を明らかにしている。

外部アタックサーフェス管理が大失敗する三大要因とは？

1．データ過多による優先順位の混乱

　EASMツールを導入すると膨大な量のアラートや情報がセキュリティチームに押し寄せ、結果として対応に必要な時間が不足し、行動が遅れることがある。CyCognitoの分析によると単一の資産の調査に平均で3〜10時間かかり、さらに3分の1の資産については、重要度が実際よりも高く評価されるという。

　この問題を回避するためにCVSSスコアだけに依存せず、資産が「見つけやすいかどうか」「悪用可能かどうか」「攻撃者にとって魅力的かどうか」という観点から優先順位を付ける必要がある。例えば支払い情報に接続されているECサイトで既知の脆弱性がある場合、攻撃者にとって高い価値を持つことになる。

2．未知の資産の見落とし

　CyCognitoの調査によれば、企業が保有する外部資産は平均で年間10％程度変動する。こうした変化を前提にしていないEASMツールや運用体制では実際に攻撃されるまで脆弱な資産の存在に気が付かないケースがある。

　特に複数の事業部門やブランドを抱える企業では、買収先の資産や統合されていないITインフラが監視対象から漏れることが多い。これを防ぐためにまず組織の全体像を正確に把握し、EASMツールを継続的に稼働させる体制を整える必要がある。

3．既存プロセスとの統合不足

　EASMは単体では機能しても既存のセキュリティ運用プロセスやチケット管理システムと統合されなければ運用上の負担が増し、プロジェクトが自然消滅する恐れがある。

　課題はツールの接続よりもむしろ「誰に連絡するか」が不明な点にある。どの「Amazon Web Services」（AWS）インスタンスがどの部署に属し、どのAPIが誰の管理下にあるのかといった情報が不明なままでは問題解決は進まない。現在のEASMは資産の所有組織を自動的に識別し、担当者やチームをひも付ける機能も備えている。これにより、修復作業も迅速に実施できる。

　EASMはAIの進化により高機能化が進んでおり、組織の攻撃対象領域をより正確に把握できるようになっている。上記のような落とし穴を避けることで、EASMは外部からの脅威に対する有力な防御手段として機能するとしている。