用語集 › 🔒 セキュリティ › ASM(アタックサーフェス管理)
【えーえすえむ】

ASM(アタックサーフェス管理) とは?

💡 攻撃者の目線で自社の弱点を見つける
📌 このページのポイント
ASM(攻撃対象領域管理) 企業のIT資産(攻撃対象領域) Webサーバー 公開API メールサーバー ポート25 VPN 入口 古いサーバー 脆弱性あり! クラウド S3バケット IoT機器 放置状態 ASMツール 常時スキャン 攻撃者 侵入を狙う 発見 評価・優先度 脆弱性検出 対策・修正 攻撃者より先に弱点を見つけて対策する
ASM(攻撃対象領域管理)のイメージ
ひよこ ひよこ

アタックサーフェスって何のこと?

ペンギン先生 ペンギン先生

攻撃者から見て「狙える場所」の全体像だよ。公開しているWebサーバー、API、メールサーバー、VPN、クラウドリソースなど、インターネットからアクセスできるものすべてがアタックサーフェスなんだ

ひよこ ひよこ

自社の資産は把握してるんじゃないの?

ペンギン先生 ペンギン先生

それが意外と把握しきれていないんだ。部署が独自に立てたテストサーバー、過去のプロジェクトで使った古いドメイン、設定ミスで公開状態になったクラウドストレージ…こういう「忘れられた資産」が攻撃の入口になるよ

ひよこ ひよこ

どうやって発見するの?

ペンギン先生 ペンギン先生

ASMツールが自社のドメインIPアドレスを起点に、インターネット上から見える資産を自動スキャンするんだ。DNSレコードSSL証明書、Whois情報などを分析して、関連する資産を芋づる式に発見するよ

ひよこ ひよこ

脆弱性診断とは違うの?

ペンギン先生 ペンギン先生

脆弱性診断は「既知の資産」に対して行うものだけど、ASMは「未知の資産を発見する」ところから始まるのが違うんだ。まず見つけて、次に評価して、リスクが高いものから対処する。継続的に行うのがポイントだよ

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「ASM」って出てきたら「自社の攻撃される可能性がある場所を洗い出す管理手法」と思えればだいたいOK!
📖 おまけ:英語の意味
「Attack Surface Management」 = 攻撃対象領域管理
💬 Attack Surface(攻撃面)をManagement(管理)する。攻撃者が狙える場所を自分で先に見つけて対処するよ
🔗 あわせて読みたい
← 用語集にもどる