経済産業省は5月29日、サイバー攻撃からIT資産を守るための手法の一つである攻撃対象領域管理（ASM、Attack Surface Management）に関する導入ガイダンスを作成し公表しました。ASMの基本的な考え方や特徴、留意点などとともに2つの取り組み事例を紹介しています。

公表したのは「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」です。ASMの定義にはじまり、実施計画の策定やツールならびにサービス、取り組み事例までを解説しています。

同文書ではASMを「組織の外部（インターネット）からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義しています。インターネットからアクセス可能なIT資産に脆弱性を残したまま運用していると、そこが攻撃者の偵察行為によって発見されサイバー攻撃を受ける可能性があります。ASMは企業が把握しきれていないIT資産を攻撃者の視点から発見することができるため、従来の脆弱性管理を補完する取り組みであると記されています。

ASMを実施するにはツールやサービスを利用することになります。ASMツールは主に検索エンジン型とオンアクセス型に分類され、サービスはASMツールの運用を代行するものなどがあると整理しています。取り組み事例では、ASMツールを導入した企業と、脆弱性管理において海外グループ企業を含めた脆弱性管理体制を整えているグローバル企業の2つを紹介しています。