ASM 2023.11.20

ASMと脆弱性診断、レイティングプラットフォームの違いとは？比較で解説

3行でわかる本記事のサマリ

ASM（アタックサーフェスマネジメント）は、外部公開資産のリスクを可視化し、継続的に管理するセキュリティ手法
ASM・脆弱性診断・レイティングプラットフォームは、いずれも外部からのリスクを可視化するが、それぞれ対象範囲と目的が異なる
ASM・脆弱性診断・レイティングプラットフォームの違いを知り、使い分けることが重要である

はじめに

昨今、企業のセキュリティ担当者から、「ASMと脆弱性診断はどう違うのか？」、「ASMとレイティングプラットフォームの使い分けを知りたい」などの声が聞かれます。

ASM（Attack Surface Management、アタックサーフェスマネジメント）は、インターネット上に公開された自社のIT資産を可視化し、脆弱性やリスクを継続的に管理するセキュリティ手法です。外部からのリスクを可視化する点では、脆弱性診断やレイティングプラットフォームと似ていますが、対象範囲や目的が異なります。

2023年5月に経済産業省から「ASM導入ガイダンス」が公表され、ASMの導入を検討する企業が増えています。本当に必要なセキュリティ対策を見極めるためには、ASM、脆弱性診断、レイティングプラットフォームの違いを正しく理解することが重要です。

ここでは、各ソリューションの一般的な特徴をもとに、違いや活用例を詳しく解説します。自社のセキュリティ対策を最適化するための参考にしてください。

ASM・脆弱性診断・レイティングプラットフォームはどう違う？
　ASMと脆弱性診断の違い：ASMは未把握資産も発見、脆弱性診断は対象を限定
　ASMとレイティングプラットフォームの違い：ASMは具体的なリスク、レイティングは点数を示す
ASM・脆弱性診断・レイティングプラットフォームはどう使い分ける？
　パターン①網羅的に可視化したい⇒ASMソリューション
　パターン②特定資産を詳しく調べたい⇒脆弱性診断
　パターン③自社や取引先のセキュリティレベルを知りたい⇒レイティングプラットフォーム
まとめ：ASM・脆弱性診断・レイティングプラットフォームの違いとは

1.ASM・脆弱性診断・レイティングプラットフォームはどう違う？

はじめに、ASM・脆弱性診断・レイティングプラットフォームについて、各ソリューションの一般的な特徴をもとに、目的、範囲、調査時の必要情報、リスク調査観点、実施頻度をまとめました。

＜各ソリューションの目的、範囲、調査時の必要情報、リスク調査観点、実施頻度＞

上記内容を前提に、今まさに注目されているASMを軸に各ソリューションの目的や対象範囲の違いを、以下に詳しく解説していきます。

ASMと脆弱性診断の違い：ASMは未把握資産も発見、脆弱性診断は対象を限定

＜脆弱性診断の目的と対象範囲＞
目的：特定資産の脆弱性の有無や特定を行うこと
　　　⇔ASMは自社関連のセキュリティリスクの可視化と軽減
対象範囲：把握している自社の特定資産
　　　　　⇔ASMは未把握も含めた自社関連資産

脆弱性診断は、すでに自社で把握している資産（既知の資産）に対して脆弱性の特定を行うものです。これに対して、ASMは未把握の資産（未知の資産）も含め、網羅的に外部公開資産を発見し、外部からわかる範囲で大まかにセキュリティリスクの特定を行います。

脆弱性診断は、一般的なASMソリューションと異なり、疑似攻撃パケットを送信し、その応答から脆弱性有無を判断するため、自社の特定資産に内在する脆弱性について、詳細な調査をする際に有効なソリューションです。

対象とする範囲にも違いがあります。ASMは未把握の自社資産の発見、棚卸から対処が必要なものの選別までの広い範囲を対象にしています。一方、脆弱性診断は特定のサーバーに対して詳細な脆弱性の検査をするものであり、範囲は限定的になるケースが多いです。

脆弱性診断の効果を最大化するためには、まずは自社資産を抜け漏れなく、網羅的に把握することが重要になります。そのため、脆弱性診断を実施している企業においても、ASMは必要です。ASMを先に実施し、その後に脆弱性診断を行うことで、抜け漏れを防ぎ、より高い精度で調査が可能になります。

脆弱性診断を定期的に実施することを決めている企業は多いですが、網羅的なセキュリティ対策を行っていくためにも、一度ASMを実施することをおすすめします。

参考図）ASMと脆弱性診断の対象範囲

ASMとレイティングプラットフォームの違い：ASMは具体的なリスク、レイティングは点数を示す

＜レイティングプラットフォームの目的と対象範囲＞
目的：企業のセキュリティ成熟度を点数化し、グループ企業や取引先のセキュリティレベルを可視化
　　　⇔ASMは自社および関連会社のセキュリティリスクの可視化と軽減
対象範囲：自社および関連会社に加え、取引先企業
　　　　　⇔ASMは自社および関連会社のみ

レイティングプラットフォームは、セキュリティリスク対策の成熟度向上による攻撃者から狙われにくい組織体制の強化を目的に、自社や特定のグループ企業を大まかに点数化することで、セキュリティ対策の成熟度を可視化するソリューションです。

主に「わかりやすさ」を重視しており、拠点やグループ企業レベルでのセキュリティ成熟度を見るなどの目的に有効です。

一方で、ASMは実際のセキュリティインシデントを防ぐことに焦点を当て、攻撃者視点で調査するというのが特徴です。攻撃者が組織内に侵入する際のポイントとなり得る、リモートアクセス系のポート公開や、VPN機器やNW機器の発見、脆弱性などのリスクの洗い出しまでの対策には、ASMが有効となります。

そのため、レイティングプラットフォームは、グループ会社や取引先を大まかに点数化して、是正を図るためのきっかけを目的とする場合に有効です。特にトップダウンで組織を動かす場合、客観性のある「点数」というわかりやすい数値は、効果的な指標として活用できます。

攻撃対象面の正確かつ網羅的な発見、そして、実際のセキュリティインシデントにつながる脅威に照らした際の指摘が必要であれば、レイティングプラットフォームではなく、ASMソリューションを選択するべきです。

2．ASM・脆弱性診断・レイティングプラットフォームはどう使い分ける？

前項では、各ソリューションの違いを主に解説してきましたが、本項ではより具体的な導入検討に向けた、課題別の活用ソリューション例を挙げていきます。

パターン①網羅的に可視化したい⇒ASMソリューション

最近のランサムウェア被害動向への対策として、自社資産の網羅的な可視化と、継続的な脆弱性などのセキュリティリスクの管理をしたい

・推奨）ASMソリューション

パターン②特定資産を詳しく調べたい⇒脆弱性診断

自社資産は網羅的に把握/管理できており、自社の特定資産に脆弱性がないか詳細を確認したい

・推奨）脆弱性診断

パターン③自社や取引先のセキュリティレベルを知りたい⇒レイティングプラットフォーム

サプライチェーンリスクマネジメントの一環として、自社関連のグループ会社に加え、取引先企業のセキュリティ成熟度を可視化したい

・推奨）レイティングプラットフォーム

パターン②の脆弱性診断は、多くの企業が定期的に実施しています。一方で、これまで自社資産を網羅的に把握/管理できていると考えていた企業が、未把握の資産や管理不十分な資産が原因で、インシデント被害にあったという事例が多発しています。自社資産を網羅的に把握/管理できているのかを今一度振り返り、必要に応じてパターン①の課題解決策であるASMソリューションを検討することがおすすめです。

3.まとめ：ASM・脆弱性診断・レイティングプラットフォームの違いとは

ASMは、インターネット上に公開された自社のIT資産を可視化し、脆弱性やリスクを管理するセキュリティ手法です。脆弱性診断が、すでに自社で把握している資産の脆弱性を調査するのに対し、ASMは未把握の資産も含めて外部公開資産を網羅的に発見するものです。また、レイティングプラットフォームがセキュリティ成熟度を把握する目的で活用されるのに対し、ASMは実際のセキュリティインシデントを防ぐ目的で活用されるものになります。

自社の課題に合う手法やソリューションを選定しないと、期待した導入効果が得られません。本記事を参考に、自社に最適なセキュリティ対策を選び、効率的な運用に向けた手助けとしていただければ幸いです。