「ASM導入検討を進めるためのガイダンス(基礎編)」を公開 ISOG-J

掲載:2024年12月02日

サイバー速報

         
目次

日本セキュリティオペレーション事業者協議会(ISOG-J)はこのほど、「ASM導入検討を進めるためのガイダンス(基礎編)」を公開しました(※)。ASMとはAttack Surface Managementの頭文字で、インターネットからアクセス可能なIT資産を見つけそれらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス、攻撃対象領域管理のことです。ガイダンスは「GitHub(ギットハブ)」を活用して公開されており、質問や要望なども受け付けています。

ガイダンスはASMの必要性を説明した上で、ASMの要件定義、ASMツール/サービスの選定および運用体制などを解説しています。外部から攻撃され得るIT資産を管理するためにASMに取り組む必要があり、機能要件を明確にすることで個別の目的に沿ったASMツール/サービスを導入できると記されています。

ASMツールの注意点についても整理されています。ASMツールはIT資産を自動的に収集し洗い出せる一方、誤って検出する可能性があります。また、ASMツールは脆弱性データベースと照合してリスク評価を行いますが、すべての脆弱性を特定できるわけではありません。脆弱性診断ツールと組み合わせて利用することで高い効果が期待できます。

導入検討に向けて具体的なイメージを描けるよう、グローバルに展開する企業Aを想定したASM活用事例も掲載されています。企業AのIT資産管理状況から課題、ASM導入に関する要件定義、導入前後で整理した事項、導入効果までを記しています。

他方、ガイダンスでは既存の管理施策を見直したり強化したりすることで解決できることがあると指摘しています。収録されているコラムでは、組織の課題・要件に対して既存の管理施策に改善余地がないか把握した上で、ASMツールやASMサービスの導入を検討するよう記されています。

※ガイダンスは、ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである「脆弱性診断士スキルマッププロジェクト」による成果物です。