アタックサーフェスは、アプリケーションやWebサイト、サーバー、ポートなどのようにネットワーク上でアクセスされる可能性があるデジタルのアタックサーフェスと、PCや携帯電話、タブレット、USBメモリなどのように攻撃者に操作される可能性がある物理的なアタックサーフェスの2つに分けられます。フィッシング詐欺などに引っかかったり、組織が承認していない機器やサービスを使用することで「シャドーIT」を発生させたりするという意味では、従業員（人）も後者に含まれると考えてよいでしょう。

企業におけるデジタル技術の導入が進みIT環境が複雑化する中、パンデミックによるリモートワークの推進も加わり、アタックサーフェスはますます拡大しています。米調査会社ガートナー社は“アタックサーフェスの拡大”を2022年のサイバーセキュリティ7つのトップ・トレンドのひとつとして挙げ、監視や検知、対応といった従来型のセキュリティ対策に加え、より広範囲なリスク管理を行うことを推奨しています。

なお、2022年6月にトレンドマイクロ社が発表した「法人組織のアタックサーフェスに関するセキュリティ意識調査」では、日本の法人で「アタックサーフェスが明確に定義されている」と回答した組織は34.6％にとどまりました。これは調査対象となった29の国と地域の中で2番目に低い結果であり、日本企業におけるアタックサーフェスの定義には多くの課題があると考えられます。

アタックサーフェスのリスクを低減させるためには、アタックサーフェスを明確に定義し、可視化することが大切です。調査やペネトレーションテストなどによりアタックサーフェスとなりえるIT資産を把握し、それぞれの脆弱性やリスクに応じたセキュリティ対策を実施することが必要です。