ASM(Attack Surface Management)と脆弱性診断の違い
2024.8.28
現代の事業活動は、ネットワーク機器やハードウェア、WebアプリケーションなどさまざまなITツールを中心に成り立っています。これらのツールは業務効率化や生産性向上などに貢献しており、事業活動を行ううえで欠かせない存在となっています。
一方で、ツールへの依存が高まるほど、サイバー攻撃のリスクが高まることも事実です。巧妙化するサイバー攻撃に対して、どのようにして自組織の複雑なIT環境からリスクを特定・対策し、自らを守るのかは大きな課題です。
脆弱性を特定するためには、既知・未知を問わず、外部からのアクセスが可能な IT資産を網羅的に検出し、リスクマネジメントを行う“ASM(Attack Surface Management)”、外部からのアクセス可否に関わらず、既知のIT資産から選択した対象のセキュリティリスク低減のため、ツールを用いて脆弱性を検出し、評価・対策を行う“脆弱性診断”などの手段が有効です。
この2つは、どちらか一方を実施すれば万全というわけではありません。そのため、正確に違いを理解して、目的に合わせて適切な手段を選ぶことが重要です。
この記事では、ASMと脆弱性診断の違いについて詳しく説明し、それぞれがどのような役割を果たしているのか、どのように活用すればセキュリティリスクを軽減できるのかについて解説します。
ASMツールについて詳しく知りたい方は以下の記事もご参照ください
ASMと脆弱性診断の違い
ASMと脆弱性診断は、大きくまとめると次のような違いがあります。
| ASM | 脆弱性診断 | |
|---|---|---|
| 目的 | セキュリティリスクを検出・評価すること | |
| 対象範囲 | 既知・未知を問わず、外部からのアクセスが可能なIT資産 | 外部からのアクセス可否に関わらず、既知のIT資産のうち、任意の対象 |
| 役割 | 自社がサイバー攻撃者からどのように見えるかを検証する | システム開発やアップデート後のセキュリティリスクを検出、評価する |
| 継続性 | 定期的 | 任意のタイミングで定期的に行うことが推奨される |
各項についてそれぞれ解説します。
目的の違い
まず目的についてですが、ASMと脆弱性診断は、両者に大きな違いはないといえます。
どちらもセキュリティリスクの検出・評価に重きを置いているという意味では同じ目的を持っています。
対象範囲の違い
では、対象範囲についてはどうでしょうか。
ASMと脆弱性診断で大きく異なる点の一つがこの対象範囲です。
ASMの対象範囲
ASMの対象範囲は“外部(インターネット上)からアクセス可能なIT資産”です。情報システム部門が把握しているIT資産(既知)だけでなく、未把握のIT資産(未知)も含めて、サイバーセキュリティリスクを検出するという点がASMの大きな特徴といえます。
近年はさまざまなITサービスの多様化・大衆化により、いわゆる“シャドーIT”※1)への脅威が増えています。ASMは、ドメイン名や資産名などを基に、IPアドレス・ホスト名をリストアップし、既知・未知を問わず、外部からアクセス可能なIT資産の情報を収集するというプロセスを辿ります。これにより、情報システム部門が把握していない攻撃面も含めて可視化されるため、未把握のシャドーITを情報システム部門が把握するためにも有効だと考えられます。
※1)企業が使用を許可していないにもかかわらず、従業員が勝手に導入したIT機器やソフトウェア。不正アクセスや情報漏えいに繋がる懸念がある。
脆弱性診断の対象範囲
脆弱性診断は“既知のIT資産”のうち、“診断される側の企業が指定した任意の対象”に対して行います。
脆弱性診断は外部からアクセス可能なシステムの範囲だけではなく、一時的に診断実施者にアクセス権限を付与した上で通常は外部アクセス出来ないシステムについても診断対象とします。つまり、インターネット上からはアクセスができないIT資産についても診断できるという点が脆弱性診断の特徴といえます。
役割の違い
ASMの役割
端的に表現すると、ASMは広い範囲を浅く診断・検証するという役割を担います。
ASMの実施においてはツールの利用が推奨されており、自社はもちろんのこと、サプライチェーンに関与する重要な企業や情報の委託先、関係会社などを含め、サイバー攻撃者から見た攻撃面を網羅的に検証することもできます。
脆弱性診断の役割
あえて対義で表現するなら、脆弱性診断は、ASMよりも狭い範囲を深く診断・検証する役割を担います。
脆弱性診断を行うためには、専用ツールを活用した自動スキャンか、専門家による手動診断で詳細までチェックする方法の2つがあります。ツールを用いて低コストで診断頻度を上げつつ、手動での詳細診断を適宜実施。ネットワークやアプリケーションなど任意の範囲をツールで検証しつつ、ツールでは見落とされてしまう脆弱性を手動で検証。など2つの方法を組み合わせて実施します。
継続性の違い
ASMの継続性
ASMは、定期的かつ継続的に監視するという特徴があります。
継続した監視により、緊急度の高い脆弱性を検出した際には管理者に通知を出すといった仕組みが実装されているものもあります。
脆弱性診断の継続性
脆弱性診断は、例えばシステムの新規導入時やアップデート時、定期的に決まったタイミングなどに行われます。定期的に自動でスキャンがなされるツールも増えてきています。その頻度は対策に対する意識や予算により制限されることになるでしょう。
補足:ペネトレーションテストとの違い
ASMや脆弱性診断と関連性の高いセキュリティ対策として、“ペネトレーションテスト”も挙げられます。
ペネトレーションテストとは、簡単にまとめると、ASMや脆弱性診断を通して発見された脆弱性に対して“その脆弱性が実際に悪用可能か、攻撃者の手法を用いて行うテスト”を指します。ASM・脆弱性診断よりも攻撃的なアプローチのセキュリティ対策です。
まとめ
この記事では、ASMと脆弱性診断の違いについて解説しました。
ASMや脆弱性診断、ペネトレーションテストは、それぞれ異なるアプローチで脆弱性を検出・診断します。ASMですべてのセキュリティリスクが検証できることもありませんし、脆弱性診断だけでは未知のIT資産に対するリスクマネジメントが困難です。またASMや脆弱性診断を実施しないことには、ペネトレーションテストをするべき対象を見誤ってしまう可能性も考えられます。
これらはどれか一つを実施すれば万全というものではないため、目的に合わせて必要なものを選び、場合によって併用を検討することも大切です。
なお、ASMは初回診断を無料で体験できるサービスもあります。
「ASMは試したことがない」「実際の診断結果を確認してみたい」という方は、まずは無料で試してみてはいかがでしょうか?
