ASM 2023.11.20

今注目されるASMと脆弱性診断、レイティングプラットフォームの違いとは？～自社に必要なソリューションを見分けるポイント～

3行でわかる本記事のサマリ

ASM（Attack Surface Management）とは、自社および関係会社の外部公開資産とそのセキュリティリスクを把握し、適切な対処を実施する取り組みであり、今大きな注目を集めています。
ASMと脆弱性診断の違いは、下記２点にあります。
①対象範囲（未把握資産も含む / 把握資産のみ）
②目的（網羅的な資産とリスクの洗い出し / 脆弱性の特定）
ASMとレイティングプラットフォームの違いは、下記２点にあります。
①対象範囲（自社および関係会社のみ / 取引先企業も含む）
②目的（網羅的な資産とリスクの洗い出し / セキュリティ成熟度の点数化）

１．はじめに

日系企業において、ビジネスに重大な影響を及ぼすインシデントは日々発生し、その総数は2019年以降で急激に増加し、今もなお高止まりの傾向にあります。
その中でも、警察庁や様々なセキュリティ関連団体によると、ランサムウェアインシデントの多くは、外部（インターネット）に公開された管理不十分なサーバーやネットワーク機器が侵害されたことが主な原因といわれています。

このようなインシデント傾向を背景に、2023年5月29日に経済産業省より、「ASM（Attack Surface Management）導入ガイダンス」が公表されました。そこから、"ASM"というキーワードの認知が広がり、様々なソリューションもセキュリティ関連ベンダーから提供され始めています。
ASMと類似のソリューションとして、"脆弱性診断"や"レイティングプラットフォーム"がありますが、これらのソリューションがASMの機能を満たしているのか、どのような違いがあるのかについて疑問を感じている方も多いのではないでしょうか。実際、一見すると共通している機能が存在するため、ソリューションを選定する際には各機能の精度を正しく理解することが必要です。そこで本記事では、自社がソリューションの導入を検討する際に、適切な選定を行えるよう、各ソリューションの一般的な特徴を基に、違いや活用例を詳しく解説します。

※ASMについて詳しくご覧になりたい場合は、弊社執筆の別記事「経済産業省ASM導入ガイダンスの要点解説とソリューション選定のコツ」ご参照ください。
　
※ASMは、外部からアクセス可能であるという点を強調して、EASM（External Attack Surface Management）と称されることもありますが、本記事ではASMとEASMを同じ意味として表現していきます。

2.　ASM（EASM）、脆弱性診断、レイティングプラットフォームの違いとは？

はじめに、各ソリューションの一般的な特徴を基に、目的、範囲、調査時の必要情報、リスク調査観点、実施頻度をまとめました。

＜各ソリューションの目的、範囲、調査時の必要情報、リスク調査観点、実施頻度＞

上記内容を前提に、今まさに注目されているASMを軸に各ソリューションの目的や対象範囲の違いを、以下に詳しく解説していきます。

ASMと脆弱性診断の違い

＜脆弱性診断の目的と対象範囲＞
目的：特定資産の脆弱性の有無や特定を行うこと
　　　⇔ASMは自社関連のセキュリティリスクの可視化と軽減
対象範囲：把握している自社の特定資産
　　　　　⇔ASMは未把握も含めた自社関連資産

脆弱性診断は、すでに自社で把握している資産（既知の資産）に対して脆弱性の特定を行うものであり、ASMは未把握の資産（未知の資産）も含め、網羅的に外部公開資産を発見し、外部からわかる範囲で大まかにセキュリティリスクの特定を行います。
脆弱性診断は、一般的なASMソリューションと異なり、疑似攻撃パケットを送信し、その応答から脆弱性有無を判断するため、自社の特定資産に内在する脆弱性について、詳細な調査をする際に有効なソリューションです。

対象とする範囲は、ASMは未把握の自社資産の発見、棚卸から対処が必要なものの選別までの広い範囲を対象にしていますが、脆弱性診断は特定のサーバーに対して詳細な脆弱性の検査をするものなので、範囲は限定的になるケースが多いです。

脆弱性診断の効果を最大化するためには、まずは自社資産を抜け漏れなく、網羅的に把握することが重要になります。そのため、脆弱性診断を実施している企業においても、ASMは必要であり、実施の順番は、ASMを実施した後に脆弱性診断をするのが、抜け漏れなく精度を高く調査が出来ることが分かります。

脆弱性診断を定期的に実施することを決めている企業様も多くいらっしゃると思いますが、網羅的なセキュリティ対策を行っていくためにも、一度ASMを実施いただくことをおすすめします。

参考図）ASMと脆弱性診断の対象範囲

ASMとレイティングプラットフォームの違い

＜レイティングプラットフォームの目的と対象範囲＞
目的：企業のセキュリティ成熟度を点数化し、グループ企業や取引先のセキュリティレベルの可視化
　　　⇔ASMは自社および関連会社のセキュリティリスクの可視化と軽減
対象範囲：自社および関連会社に加え、取引先企業
　　　　　⇔ASMは自社および関連会社のみ

レイティングプラットフォームは、セキュリティリスク対策の成熟度向上による攻撃者から狙われにくい組織体制の強化を目的に、自社や特定のグループ企業を大まかに点数化することで、セキュリティ対策の成熟度を可視化するソリューションです。

主に「分かりやすさ」を重視しており、拠点やグループ企業レベルでのセキュリティ成熟度を見るなどの目的に有効です。
一方で、ASMは実際のセキュリティインシデントを防ぐことに焦点を当て、攻撃者視点で調査するというのが特徴です。攻撃者が組織内に侵入する際のポイントとなり得る、リモートアクセス系のポート公開や、VPN機器やNW機器の発見や脆弱性などのリスクの洗い出しまでの対策には、ASMが有効となります。

そのため、レイティングプラットフォームは、グループ会社や取引先を大まかに点数化して、是正を図るためのきっかけを目的とする場合にレイティングプラットフォームの選択は有効であり、特にトップダウンで組織を動かす場合、客観性のある「点数」という分かりやすい数値は、効果的な指標として活用できます。

攻撃対象面の正確かつ網羅的な発見、そして、実際のセキュリティインシデントにつながる脅威に照らした際の指摘が必要であれば、レイティングプラットフォームではなく、ASMソリューションを選択するべきです。

3．効果的な活用例

前項では、各ソリューションの違いを主に解説してきましたが、本項ではより具体的に導入検討に向けた、課題別の活用ソリューション例を挙げていきます。

課題別の活用ソリューション例

パターン①
最近のランサムウェア被害動向への対策として、自社資産の網羅的な可視化と、継続的な脆弱性などのセキュリティリスクの管理をしたい
- 推奨）ASMソリューション
パターン②
自社資産は網羅的に把握/管理できており、自社の特定資産に脆弱性がないか詳細を確認したい
- 推奨）脆弱性診断
パターン③
サプライチェーンリスクマネジメントの一環として、自社関連のグループ会社に加え、取引先企業のセキュリティ成熟度を可視化したい
- 推奨）レイティングプラットフォーム

特にパターン②については、多くの企業が定期的に脆弱性診断を実施しているかと思います。一方で、これまで自社資産を網羅的に把握/管理できていると思っていた企業が、未把握の資産や管理不十分な資産が原因で、インシデント被害にあったという事例が多発しています。自社資産を網羅的に把握/管理できているのかを今一度振り返っていただき、必要に応じてパターン①の課題解決策であるASMソリューションを検討いただければと思います。

4.　まとめ

本記事では、自社の外部公開資産の把握やリスク調査の実施に向けて、各社課題となる、ASM、脆弱性診断、レイティングプラットフォームの違いや使い分けについて解説をしてきました。自社の環境と課題に適さないソリューションを選定してしまった場合、想定していた効果を十分に得られない結果となってしまいます。本記事を通じて、自社に適切なソリューションを選んでいただき、最適かつ効率的な運用に向けた手助けとしていただければ幸いです。

＼関連サービス、ソリューションのご紹介／
▼Mpression Cyber Security Service™ ASMサービス
https://www.macnica.co.jp/business/security/manufacturers/mpressioncss/asm.html