ASMツールとは? ~機能・メリット・選定ポイントを一挙に解説~
2024.8.28
コンピューターの誕生から今日にかけて、セキュリティ対策ソリューションは目覚ましい勢いで進化しています。
エンドポイントをマルウェア感染から守る“EPP(Endpoint Protection Platform)”や、脅威がエンドポイントに侵入してしまった際にリスクを低減する“EDR(Endpoint Detection and Response)”など、新しい概念の製品が続々とセキュリティ市場に浸透しております。
さまざまなセキュリティツールが登場するなか、近頃よく取り上げられているのが、“ASMツール(ASMサービス)”です。
組織のセキュリティ対策を盤石にするべく、一足先にASMツールに関する情報収集をしている方に向けて、この記事では、ASMツールの概要、一般的な機能、導入のメリット、選び方について解説します。
『MS&ADサイバーリスクファインダー』なら、ASMの初回診断を無料でお試しいただけます
ASMツール(ASMサービス)とは
ASMツール(ASMサービス)とは、ASM※1)の一連のプロセスを自動化・効率化するサービスの総称です。
ITツールの活用が浸透した昨今、組織のなかには、情報システム部門が把握しているIT資産だけでなく、未把握のIT資産が存在しているケースも少なくありません。
インターネット上からアクセスできる情報すべてにいえることですが、特に未把握のIT資産については、セキュリティの抜け穴、すなわち悪意のあるハッカーから見た攻撃面となる脆弱性や設定ミスが放置される可能性が高くなります。
ASMツールは、このようなIT資産全体における攻撃面の特定や評価を包括的かつ効率的に管理するための手段として有効です。
※1)ASMは、Attack Surface Management(アタック サーフェス マネジメント)の略で、経済産業省のガイダンスではASMを以下のように定義しています。
組織の外部(インターネット)からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス
出典:経済産業省 商務情報政策局 サイバーセキュリティ課『ASM (Attack Surface Management)導入ガイダンス 外部から把握出来る情報を用いて自組織のIT資産を発見し管理する』
ASMツールについて詳しく知りたい方は以下の記事もご参照ください
ASMツールの機能
ASMツールの機能は利用サービスによって異なる場合がありますが、代表的な機能としては、以下の3つが挙げられます。
- 自社に関連するIT資産の洗い出しと脆弱性の検出
- リスクの評価
- 自動通知
自社に関連するIT資産の洗い出しと脆弱性の検出
1つ目は、自社に関連するIT資産の洗い出しと脆弱性を検出する機能です。
インターネット上からアクセス可能な既知および未知のIT資産をリストアップするとともに、リストアップしたIT資産の脆弱性を検出します。
リスクの評価
2つ目は、リスクを評価する機能です。
検出された脆弱性の影響度や悪用される可能性を評価し、改善の優先順位が割り振られます。CVSS※2)が高い脆弱性やすでに攻撃が確認されている脆弱性であるほど、優先順位が高く評価されます。
※2)CVSS(Common Vulnerability Scoring System/共通脆弱性評価システム)とは、システムやソフトウェアの脆弱性の深刻度を表す国際的な評価指標。
自動通知
3つ目は、自動通知機能(モニタリングやシステム連携)です。
ASMツールは、定期的に診断を行うことで、新たな脆弱性や異常を検出します。継続的なモニタリングや、自社システムとASMを連携して定期的にチェックし、異常が発見されると、管理者にアラートを発し、対応を促します。
ASMツールのメリット
ASM(アタックサーフェスマネジメント)をツール導入して実施するメリットは、大きく次の2つが挙げられます。
- リソースの有効活用ができる
- 迅速な対応ができる
リソースの有効活用ができる
昨今のIT人材不足、特にセキュリティ分野の人材不足は顕著です。
情報システム部門は、サーバの構築・保守、端末のキッティング作業、社内のヘルプデスク対応など、多岐にわたる業務を担当しており、その業務負荷の大きさが問題視されることが増えています。このような状況で、ASMのプロセスを手動で対応するのは容易ではありません。
ASMツールを導入することで、継続的なリスクマネジメントを実行できるだけでなく、貴重な人的リソースを有効に活用することが可能です。
迅速な対応ができる
ASMツールには、定期的かつ継続的な監視が行われるものもあります。
異常を発見した際は管理者にアラートが出されるため、迅速にセキュリティリスクを検知できます。
これにより、未把握のセキュリティアップデートを検知し、パッチを適⽤するなど見落としのない対応が可能になります。
ASMツールを選ぶポイント
ASMツールを選ぶ際にチェックしておくべきポイントを4つピックアップして解説します。
- 攻撃面の検出・診断実績が豊富か
- 継続しやすい価格帯か
- サポートが充実しているか
- 診断結果(レポート等)はわかりやすいか
攻撃面の検出・診断実績が豊富か
第一に重要なのは、攻撃面の検出・診断クオリティの高さです。
クオリティを判断するためには、実際の診断結果(レポート)を確認するほか、提供元の実績も基準の一つとして役立ちます。脆弱性を感知するスピード、スキャン数など、攻撃面の検出・診断に関する実績を確認しましょう。
継続しやすい価格帯か
ASMツールは継続的にセキュリティのリスクマネジメントをするためのツールです。そのため、一時的な予算ではなく長期的な予算を確保し、継続して運用される必要があります。
ASMツールの機能性や価格帯は提供元によってまちまちです。あまりにも予算を超過する場合は、機能がToo Muchではないかも含め、複数のツールを比較検討しましょう。
サポートが充実しているか
ASMツールにより、万が一脆弱性が検出されたときに、どのような改善対応をとるべきかを相談できる窓口があると、より多角的な対策を検討できると考えられます。
情報システム部門の負荷を軽減するためにも、サポート体制をチェックしてみることをおすすめします。
診断結果(レポート等)はわかりやすいか
ASMでは診断結果をみて、適切な対策を実行することが求められます。
例えば、ASMツールで検出された脆弱性に対し、組織としてどう対処するのか、コストをどれくらい費やすのかを検討するために稟議が必要になるケースもあります。
わかりやすいレポートがあれば、情報システム部門で追加資料を作成したり、補足をしたりする負荷を軽減することもできるでしょう。
MS&ADサイバーリスクファインダー
MS&ADサイバーリスクファインダー | 自社のセキュリティリスクをハッカー目線で穴がないかチェックする新常識ASMサービス
MS&ADサイバーリスクファインダーは、ハッカー視点でセキュリティに穴がないかをチェックするASMツール。米国のサイバー保険分野で圧倒的なデータ量と最先端のテクノロジーを有するCoalition社と、MS&ADインシュアランスグループが共同開発したセキュリティツールです。
現代のハッカーは攻撃しやすそうな組織を見つけてサイバー攻撃を仕掛けます。ハッカーの視点で外部から自社システムをチェックすることで、侵入リスクを定期的・継続的に監視するとともに、新しいサイバーリスクを検知した際は緊急アラートを通知します。
被害想定額や、緊急で対応すべき脆弱性、分かりやすい日本語での診断レポートが提供されるほか、予防や対策については、サイバーセキュリティの専門家にオンラインで相談も可能です。
▼レポートサンプル
※サンプルとなります。実物とは異なる場合があります。
初回診断を無料で体験可能なため、ASMツールをお探しの方は試してみてはいかがでしょうか。
まとめ
サイバー攻撃の手法は巧妙化の一途を辿っており、セキュリティ対策に必要なコストや手段が増え続けています。常に変化し続ける状況のなかで、ASMは重要なセキュリティ施策の一つであると注目を集めています。
ASMツールの活用により、悪意のあるハッカーから見た攻撃面の包括的な検出・評価・管理が可能になります。セキュリティ強化のために、ASMツールの導入を検討してみてはいかがでしょうか。
