アタックサーフェスマネジメントとは？ 10分でわかりやすく解説

アタックサーフェスマネジメント（ASM）とは、攻撃者が狙える露出領域を継続的に把握し、リスクの高い順に減らしていく運用プロセスです。クラウド移行、SaaS活用、テレワークの定着で、企業の「外から見えるIT資産」は増え続けています。ASMの価値は、見つけた資産を一覧化することではなく、知らない公開資産を減らし、優先順位を付けて閉じる・直す・制限する判断につなげることにあります。

アタックサーフェスマネジメントとは

ASMは、攻撃対象領域（アタックサーフェス）を継続的に把握し、変化に合わせて見直し続ける取り組みです。単発の棚卸しではなく、新しい公開資産、設定変更、新たに判明した脆弱性に応じて追い続ける前提で考えます。

ここでいうアタックサーフェスは、脆弱性そのものだけを指しません。より正確には、攻撃者が到達できる、試せる、悪用できる可能性のある接点の総体です。公開ドメイン、サブドメイン、IPアドレス、公開サーバー、管理画面、認証基盤、公開API、委託先が運用する公開システムなども含まれます。

アタックサーフェスとして扱うもの

• 外部公開資産：ドメイン、サブドメイン、IP、公開サーバー、クラウド上の公開ストレージなど
• サービスと設定：不要なポート公開、古いTLS設定、誤ったCORS設定、開発用管理画面の露出など
• アイデンティティ：公開されたログイン画面、放置アカウント、権限過大、連携設定の不備など
• 外部委託や連携：委託先が持つ公開資産、第三者によるDNS設定、外部サービスとの接続点など

実務では、まず「インターネットから見える範囲」を優先的に扱うほうが整理しやすくなります。攻撃者が最初に触れるのがそこだからです。

ASMが注目される背景

• 資産が増え続ける：クラウド、SaaS、短期検証環境、部門導入サービスが台帳から漏れやすい
• 知らない資産が危ない：放置サブドメイン、期限切れ証明書、不要公開の検証環境が侵入口になり得る
• 攻撃は露出の列挙から始まる：攻撃者はまず外部から見える対象を洗い出し、弱い接点を探す

このため、ASMは脆弱性対策の後工程ではなく、何が外に出ているかを把握する前工程として扱うほうが実態に合います。

ASM・EASM・CAASM・脆弱性管理の違い

似た言葉が多く、混同しやすいので要点だけ分けておきます。

実務では、EASMで外から見える資産を拾い、CAASMやCMDBなどで持ち主と重要度を確定し、脆弱性管理や変更管理で是正する、という連携が進めやすくなります。

ASMで扱う範囲

まずは外部公開資産から始める

最初に着手しやすいのは、インターネットから見える範囲です。理由は単純で、攻撃者が最初に試すのがそこだからです。公開ドメイン、サブドメイン、証明書、管理画面、ストレージ公開設定、APIの露出などは優先的に棚卸ししたほうが効果が出やすくなります。

露出には業務上の背景がある

露出は単純な設定ミスだけで生まれるわけではありません。短納期案件で作った検証環境が残る、委託先が設定したDNSが契約終了後も残る、部門導入SaaSが情シスの管理外にある、といった業務上の事情で増えていきます。ASMが効くかどうかは、セキュリティ部門だけで閉じず、変更管理、委託管理、資産管理とつなげられるかに左右されます。

アタックサーフェスマネジメントの手順

1. 特定と可視化

出発点は、対象を漏れなく拾うことです。起点としては、自社ドメイン、証明書、IPレンジ、クラウドアカウント、ブランド名などを使います。そのうえで、公開ホスト、サブドメイン、証明書、公開サービス、技術スタック、公開ポートなどの属性を集めます。

この段階で起こりやすい失敗は、「見つけたが持ち主が分からない」で止まることです。発見結果をチケット運用や台帳更新へどう渡すかを、最初から決めておいたほうが止まりにくくなります。

2. リスク評価と優先順位付け

見つけたものを同じ熱量で直そうとすると必ず破綻します。優先順位は少なくとも次の軸で付けます。

• 曝露度：インターネットから到達できるか、認証があるか、誰でも触れるか
• 影響度：扱うデータの重要性、業務停止の影響、顧客接点かどうか
• 悪用容易性：既知の脆弱性、単純な設定不備、認証なし利用の有無
• 修正容易性：すぐ閉じられるか、設定変更だけで直るか、委託先調整が要るか

ここで「直す」以外の選択肢も並べます。不要公開を止める、アクセス元を制限する、当面は監視を強める、といった判断を分けておくと手が止まりにくくなります。

3. 縮小・制限・修正

ASMの成果は発見件数ではなく、露出が減ったかで測るほうが健全です。対策は大きく四つに分かれます。

• 削除：不要なサブドメイン、放置サーバー、使っていない公開エンドポイントを止める
• 制限：管理画面をIP制限、VPN、ゼロトラスト経由へ変更する
• 修正：パッチ適用、設定是正、認可漏れの修正、公開バケットの閉鎖などを進める
• 保護：必要な公開領域に対してWAFやレート制限などをかける

4. 継続監視と再評価

ASMは継続監視が本体です。新規公開、設定変更、証明書更新、脆弱性情報の公開を差分で追い、例外設定が恒久化していないかも確認します。外部公開の変化が多い環境では、毎日から毎週の頻度で見直す運用を置くほうが安定します。

ASMで得られる効果

知らない穴を減らせる

最大の効果は、管理外の露出を減らせることです。脆弱性管理は把握済み資産を前提に進みやすいため、そもそも台帳に載っていない公開資産は抜けやすくなります。ASMはその前提を補強します。

インシデント初動が速くなる

外部公開資産の一覧、所有部門、技術スタック、公開開始時期が分かっていると、侵害兆候が出たときの調査が速くなります。何が外に出ているか分からない状態だと、初動で時間を失いやすくなります。

委託管理と説明責任を整理しやすい

委託先やグループ会社が関わる公開資産では、誰が責任を持つかを説明できることが重要です。ASMの運用があると、責任範囲、例外の根拠、是正履歴を残しやすくなります。

BCPの判断材料になる

顧客向けサービスや公開管理画面が止まると、業務影響は大きくなります。ASMで守るべき公開資産の優先順位が分かると、監視、復旧、代替手段の重点配分も決めやすくなります。

導入を進めるときの考え方

小さく始める

最初から全社一括で始めると、持ち主不明の資産が大量に出て止まりやすくなります。主要ドメイン、顧客向け公開サービス、特定クラウド環境など、範囲を区切って成功パターンを作るほうが進めやすくなります。

オーナー確定の流れを先に決める

発見した資産を誰に渡すのか、期限までにオーナーが確定しない場合は誰が暫定判断するのかを先に決めます。これがないと、棚卸し結果が一覧表のままで止まります。

KPIは「減ったか」で置く

指標は、発見件数よりも、重大な露出の解消までの時間、不要公開の削減件数、新規公開からオーナー確定までの時間、期限切れ例外の残数などのほうが実務に効きます。

注意点とつまずきどころ

発見結果にノイズが混ざる

外部スキャンでは、誤検知や「本当に自社資産か曖昧」な対象も混ざります。確定、要確認、参考といった段階を付けて扱わないと、現場の負担だけが増えます。

所有者不明のまま放置される

ASMで一番多い失敗はここです。所有者不明の資産を解決する窓口、期限、暫定処置を決めていないと、是正へ進みません。

法務・契約・プライバシーの論点を後回しにする

委託先やグループ会社の資産を対象に含めるなら、監視や是正の責任範囲を契約や運用ルールで明確にしておく必要があります。社内の情シス、セキュリティ、法務、調達の合意がないと、見つけても閉じにくくなります。

まとめ

アタックサーフェスマネジメントは、攻撃者が狙える露出領域を継続的に把握し、優先順位を付けて減らすための運用プロセスです。特に、外部公開資産の棚卸し、所有者の確定、不要公開の停止は、早い段階で効果が出やすいテーマです。発見、割当、是正、再確認をつなげ、露出が減る状態を積み重ねられるかどうかで、ASMの価値は決まります。

FAQ