お役立ちコラム集

働き方のDXと、ITセキュリティに関するお役立ち情報を発信しています

               【SmartGate HPはコチラ】

タグ: 攻撃対象領域 増加

  • アタックサーフェースマネジメント(ASM)とは?攻撃対象領域の爆発的増加とゼロトラスト時代に求められる新常識

    アタックサーフェースマネジメント(ASM)とは?攻撃対象領域の爆発的増加とゼロトラスト時代に求められる新常識

    背景 ― なぜ今、ASMが注目されているのか

    企業のセキュリティ戦略はここ数年で大きく変化しました。
    とくに以下4つの潮流が、攻撃対象領域(Attack Surface)を劇的に拡大させています。

    ① クラウドシフトによる“外部公開資産”の増加

    従来は社内ネットワーク内に閉じていたIT資産が、

    • AWS
    • Azure
    • GCP
    • 各種SaaS(Google Workspace、Microsoft 365、Salesforce など)
      といったクラウドへ移行したことで外部からアクセス可能な状態になる資産が増加しました。

    この結果、「公開されていることに気づいていないシステム」が生まれやすくなりました。

    例:

    • 検証用に立てたEC2を閉じ忘れて外部公開のまま放置
    • S3バケットが“Public”設定のまま残る
    • 未使用のDNSレコードが残っている
      こうした“忘れられた資産”は攻撃者の格好のターゲットです。

    ② SaaSの氾濫とShadow ITの増加

    近年、企業は数十〜数百種類のSaaSを利用しています。
    しかし、その全てを情報システム部門が把握しているとは限りません。

    • 営業部が勝手に使い始めたSaaS
    • 無料試用のまま放置されたアカウント
    • パスワード弱いまま運用されている個別SaaS

    こうした“見えない外部資産”が攻撃対象領域を急激に広げます。

    影響:
    攻撃者は、企業が知らない公開SaaSや外部サービスから侵入しようとします。
    守る側が知らない入口は守れません。

    ③ テレワークによる境界の喪失

    「オフィスという強固な境界」を前提とした時代は終わりました。

    • 社員がどこからでも社内システムにアクセス
    • 個人デバイスからアクセス
    • VPNやリモートデスクトップの利用増加

    アクセス経路が多様化したことで、管理しきれない“入口”が大量に生まれています。

    ④ 攻撃者のスキャン技術の進化

    攻撃者は今、企業と同じように

    • 自動化された資産スキャンツール
    • 外部公開情報のクローリング
    • サプライチェーン経由の弱点調査
      を行っています。

    つまり攻撃者は、企業自身よりも企業の公開資産に詳しいケースが増えているのです。

    この環境で必要となるのが、
    “攻撃者より先に弱点を見つける” ASM です。

    アタックサーフェースマネジメント(ASM)とは ― 企業の“外部から見える姿”を常に把握する仕組み

    ASMとは、
    企業が外部に公開している資産を攻撃者視点で棚卸しし、リスクを継続的に削減するプロセスです。

    「攻撃される入口(Attack Surface)」は、企業が意図して作ったものだけでなく

    • ミス設定
    • 放置資産
    • Shadow IT
    • サプライチェーンの資産
      など多様化しています。

    ASMはそれらを包括的に発見します。

    ASMが行う主な活動

    1. 継続的な資産発見

    企業が知らない外部資産を自動でスキャンし、

    • ドメイン
    • サブドメイン
    • IPアドレス
    • クラウド環境
    • 公開中のアプリケーション
      などを洗い出します。

    攻撃者が利用するようなスキャン技術を使うため、
    **「攻撃者が知っている資産」=「企業側が先に把握できる」**ようになる点が特徴です。

    2. Shadow IT の検知

    利用申請されていないクラウド環境やSaaSを発見します。

    例:

    • 個人のクレジットカードで契約されたSaaS
    • 別部署が独自で立てたWebサービス
    • DNSだけ残っている使われていないドメイン

    Shadow IT は情報漏洩の大きな原因の1つであり、ASMでの可視化が不可欠です。

    3. 脆弱性の評価と優先順位付け

    発見した資産ごとに以下を分析:

    • 使用しているソフトウェアのバージョン
    • 脆弱性の存在(CVE)
    • 公開ポート
    • SSL証明書の状態
    • 設定ミス(誤った公開状態)

    そのうえで、
    “攻撃される可能性が高い部分から優先的に修正する”
    という順番まで提示します。

    4. 攻撃対象領域の削減(Attack Surface Reduction)

    発見した弱点に対して、

    • 不要な公開を閉じる
    • 設定を修正する
    • アカウントを削除する
    • 証明書を更新する

    など、入口を最小化するためのアクションを行います。

    これにより攻撃者から見える企業の“表面積”をどんどん縮小できます。

    ASMとゼロトラストの関係 ― ゼロトラストの前提条件を作る仕組み

    ゼロトラストが進む中で、
    「常に認証する」「端末を信頼しない」など、制度や仕組みを整えることが重視されますが、
    その前提として “守るべき資産を正確に把握していること” が必須です。

    ASMはこの前提を満たすための重要な機能を果たします。

    ゼロトラスト × ASM が必要な理由

    • IDや端末を厳密に管理する前に、誰がどの資産にアクセスしているか把握する必要がある
    • 不要な外部公開資産を閉じることで認証ポイントを減らす
    • ゼロトラストのポリシーを適用すべき対象を明確化できる

    ゼロトラストは「入口の制御」、
    ASMは「入口の棚卸しと削減」。

    両者は非常に相性が良く、片方が欠けると十分な効果が得られません。

    ASMとVPNの関係 ― VPNの“入口問題”の可視化に効く

    VPNは便利な一方で、常に攻撃対象となるリスクがあります。

    • VPNゲートウェイ自体が外部公開の標的
    • 退職者のアカウントが残る
    • パスワード使い回しによる侵害
    • SSL-VPNの脆弱性(Pulse Secure、FortiGateなどの事例多数)

    ASMはこれらの

    • 公開状態
    • 脆弱性
    • 証明書の期限
    • 想定外のポート公開
      を発見し、削減を促します。

    VPNを安全に運用するための「入口監査」の役目を果たします。

    ASMとセキュアブラウザの関係(補完ソリューションとして)

    セキュアブラウザは、
    企業資産に“どう安全にアクセスするか”を担うソリューションであり、
    ASMとは直接競合しないどころか、補完関係にあります。

    • ASM → 攻撃対象領域を可視化・削減
    • セキュアブラウザ → ユーザーが安全にアクセスする環境を構築

    ASMで入口を整理したうえで、
    セキュアブラウザでデータ漏洩リスクを抑える、
    という流れが最も効率的なセキュリティ設計です。

    最後に ― ASMで入口を最適化し、SmartGateで安全なアクセス環境を実現

    ASMが担うのは、
    「攻撃者に見える企業の姿を正しく知り、不要な入口を減らすこと」 です。

    そして SmartGate のようなセキュアブラウザは
    必要な入口からのアクセスを安全にコントロールすること
    を担います。

    • ASM → 入口を最小化
    • SmartGate → 最小化した入口を安全に利用する環境を提供

    この組み合わせが、
    境界が存在しない現代のセキュリティにおいて最も合理的なアプローチと言えます。