「ASM導入検討を進めるためのガイダンス(基礎編)」を公開 ISOG-J
掲載:2024年12月02日
サイバー速報
目次
日本セキュリティオペレーション事業者協議会(ISOG-J)はこのほど、「ASM導入検討を進めるためのガイダンス(基礎編)」を公開しました(※)。ASMとはAttack Surface Managementの頭文字で、インターネットからアクセス可能なIT資産を見つけそれらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス、攻撃対象領域管理のことです。ガイダンスは「GitHub(ギットハブ)」を活用して公開されており、質問や要望なども受け付けています。
ガイダンスはASMの必要性を説明した上で、ASMの要件定義、ASMツール/サービスの選定および運用体制などを解説しています。外部から攻撃され得るIT資産を管理するためにASMに取り組む必要があり、機能要件を明確にすることで個別の目的に沿ったASMツール/サービスを導入できると記されています。
ASMツールの注意点についても整理されています。ASMツールはIT資産を自動的に収集し洗い出せる一方、誤って検出する可能性があります。また、ASMツールは脆弱性データベースと照合してリスク評価を行いますが、すべての脆弱性を特定できるわけではありません。脆弱性診断ツールと組み合わせて利用することで高い効果が期待できます。
導入検討に向けて具体的なイメージを描けるよう、グローバルに展開する企業Aを想定したASM活用事例も掲載されています。企業AのIT資産管理状況から課題、ASM導入に関する要件定義、導入前後で整理した事項、導入効果までを記しています。
他方、ガイダンスでは既存の管理施策を見直したり強化したりすることで解決できることがあると指摘しています。収録されているコラムでは、組織の課題・要件に対して既存の管理施策に改善余地がないか把握した上で、ASMツールやASMサービスの導入を検討するよう記されています。
※ガイダンスは、ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」による成果物です。
おすすめ記事
- アタックサーフェス
- シャドーIT
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~
- KASEYA(カセヤ)社のサイバー攻撃被害に危機管理の真髄を学ぶ
- ブルートフォースアタック
- 英国の認証制度を活用、手頃な価格で始めるサイバーセキュリティ対策~IASME Cyber Baseline と IASME Cyber Assurance~
- ランサムウェア被害件数は高止まり、2023年上半期の「サイバー空間をめぐる脅威の情勢等について」を公表 警察庁
- 攻撃対象領域管理(ASM、Attack Surface Management)の導入ガイダンスを公表 経産省
- ランサムウェア被害後のデータ復旧トラブルを防ぐ目的で「データ被害時のベンダー選定チェックシートVer1.0」を公開 IDF/DRAJ/JNSA/NCA/SAJ
- ランサムウェア被害の64%は中小企業、2024年上半期の「サイバー空間をめぐる脅威の情勢等について」を公表 警察庁
- 「セキュリティ対応組織の教科書」の第3.2版を公開 ISOG-J/JNSA