攻撃対象領域管理(ASM、Attack Surface Management)の導入ガイダンスを公表 経産省

掲載:2023年06月05日

サイバー速報

         
目次

経済産業省は5月29日、サイバー攻撃からIT資産を守るための手法の一つである攻撃対象領域管理(ASM、Attack Surface Management)に関する導入ガイダンスを作成し公表しました。ASMの基本的な考え方や特徴、留意点などとともに2つの取り組み事例を紹介しています。

公表したのは「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」です。ASMの定義にはじまり、実施計画の策定やツールならびにサービス、取り組み事例までを解説しています。

同文書ではASMを「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義しています。インターネットからアクセス可能なIT資産に脆弱性を残したまま運用していると、そこが攻撃者の偵察行為によって発見されサイバー攻撃を受ける可能性があります。ASMは企業が把握しきれていないIT資産を攻撃者の視点から発見することができるため、従来の脆弱性管理を補完する取り組みであると記されています。

ASMを実施するにはツールやサービスを利用することになります。ASMツールは主に検索エンジン型とオンアクセス型に分類され、サービスはASMツールの運用を代行するものなどがあると整理しています。取り組み事例では、ASMツールを導入した企業と、脆弱性管理において海外グループ企業を含めた脆弱性管理体制を整えているグローバル企業の2つを紹介しています。

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる