ASM

ASMは日本語にすると「攻撃対象領域の管理」となります。少し難しそうに聞こえますが、考え方はいたってシンプル。企業や組織がもつIT資産のうち、インターネットから見える部分を把握し、攻撃者に悪用されるリスクを減らす取り組みを指します。

私たちが守るべき資産には、パソコンやサーバーなどの物理的な機器、クラウドサービスや社外向けAPIといったオンライン上の資産、Webサイトやネットワーク機器、そして古いまま放置されたシステムやソフトウェアなどがあります。どれも攻撃の入り口になり得るため、漏れなく把握し管理することが重要です。しかも、組織が成長するほどIT資産は増え、すべてを正確に把握するのが難しくなるものです。そこで役立つのがASMです。

ASMでは、まず外部から見える資産を棚卸しします。そして、それらがもつ脆弱性や誤った設定を洗い出し、優先順位を付けて対策を進めるのです。いわば、攻撃者と同じ視点で「どこを狙われそうか」を先回りして見つける作業ですね。

よく似た取り組みに脆弱性診断がありますが、ASMはさらに広い視野をもっています。脆弱性診断は対象を決めて調べるのに対し、ASMは「そもそも何が対象なのか」を探し出すところから始まるのです。意図せず公開されていたサーバーや、管理が止まったままのサービスを発見することもあります。

攻撃の手口が複雑化する今、自分たちの“攻撃され得る面”を正確に把握することはとても重要です。ASMは継続的に監視を行うため、一度調査して終わりではなく、変化し続ける環境に合わせて常に最新の状況を見直せるのも特徴ですね。

つまりASMは、防御を固める前の準備段階ともいえます。どこが弱いのかを知らなければ、適切な対策は打てません。攻撃者に先を越される前に、自分たちの“姿”を把握する、その第一歩がASMではないでしょうか。