アタックサーフェイス管理とは?IT資産の見逃し・管理漏れを防ぐサービスを解説
作成日:2025年11月5日
関連ソリューション
テレワーク・リモートワークが普及したことを背景に、外部公開されているIT資産を企業が把握しきれないケースが増えており、VPNやリモートデスクトップを侵入口としたランサムウェア被害も問題となっています。
こうした課題を解決するソリューションの一つが、外部からアクセス可能な情報を攻撃者と同じ視点から発見・管理する「アタックサーフェイス管理」です。
本記事では、近年のテレワーク環境で増えているサイバー攻撃の脅威や、IT資産の管理不足に起因する企業の課題、アタックサーフェイス管理の概要を解説します。
■サイバー攻撃のトレンド
■テレワークで広がるランサムウェア被害
■IT資産の管理不足が被害につながる
■企業が抱える3つの課題
・外部公開されているIT資産の棚卸しができていない
・セキュリティリスクがどこにあるのかわからない
・セキュリティ人材が不足している
■課題を解決する「ASM」(アタックサーフェイス管理)とは?
・ASMの概要
・政府機関でもASMが注目されている
■都築電気のASMサービス
サイバー攻撃のトレンド
サイバー攻撃が巧妙化・複雑化している中、近年は「偵察」から攻撃が始まるケースが多く見られます。攻撃者はインターネット上に公開された情報や外部からアクセス可能なIT資産を調査し、脆弱なポイントを探し出します。
警察庁の発表※によると、令和6年に警察庁のセンサーが検知した脆弱性探索行為等は9,500件を超え、平成23年以降増加の一途をたどっています。
※出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」p. 5
(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf)
テレワークで広がるランサムウェア被害
ランサムウェアの感染経路は、従来のメール添付型から変化し、テレワーク等で利用されるVPN機器やリモートデスクトップが侵入口となるケースが増えています。
警察庁の発表※によると、国内で発生したランサムウェアインシデントの感染経路として、VPN やリモートデスクトップ用の機器からの侵入が全体の8割以上を占めています。
※出典:警察庁「令和6年におけるサイバー空間をめぐる脅威の情勢等について」p. 9
(https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf)
IT資産の管理不足が被害につながる
サイバー攻撃による侵入経路の半数以上は、セキュリティパッチの未適用や管理対象から漏れてしまったIT資産が原因です。テレワークやクラウドの活用が進む中、企業が把握しきれていないIT資産への攻撃リスクが急増している状況です。
攻撃者と同じ視点で資産を洗い出し、継続的に監視・評価する仕組みが求められています。
IT資産の管理不足により被害が生じるケースとしては、テレワーク、リモートワークVPNから侵入される、公開資産になっていることに気付かず十分に資産を管理できていない、外部委託会社のセキュリティ対策が漏れていた、といったものが挙げられます。
企業が抱える3つの課題
多くの企業では外部公開されているIT資産の把握が困難で、適切な情報把握と管理体制の構築が喫緊の課題となっています。
外部公開されているIT資産の棚卸しができていない
DXの加速により、事業部門が正規の手続きを経ずに導入したクラウドサービスや外部委託環境が増加しています。結果として、外部公開されている資産の全容を把握できず、潜在的なリスクが見落とされるケースが多発しています。
セキュリティリスクがどこにあるのかわからない
資産構成を把握しきれていないことにより、自社環境の脆弱性の所在を特定できないケースが増えています。この「見えないリスク」が、攻撃者にとって格好の標的となっています。
セキュリティ人材が不足している
多くの企業ではセキュリティ対応に充てられる人員や知識が不足しており、外部委託に頼らざるを得ない状況です。しかし、外部委託にはコストや手続きのハードルがあり、迅速な対応が難しくなっています。
課題を解決する「ASM」(アタックサーフェイス管理)とは?
前述のような課題を解決するソリューションとして、ASM(Attack Surface Management:アタックサーフェイス管理)があります。
ASMの概要
ASMは、インターネット上の公開情報を活用し、自組織のIT資産を発見・管理する仕組みです。不要なサービスポートの意図せぬ公開やSSL証明書の状態、既知の脆弱性の有無などを継続的にチェックし、攻撃者視点でのリスク把握を可能にします。
これにより、不正アクセスや情報漏洩のリスクを早期に発見し、適切な対策につなげることができます。
政府機関でもASMが注目されている
経済産業省は民間企業のセキュリティ強化を目的に「ASM導入ガイダンス」を公表しました。ここではASMの基本的な考え方や導入時の留意点、実際の企業の取り組み事例がまとめられており、政府機関においてもASMが注目を集めています。
都築電気のASMサービス
都築電気のASMサービスは、お客様の公開資産における脆弱性を把握し、セキュリティ強化を総合的にサポートいたします。スポット診断(単発)と継続的診断(年間ライセンス)を提供しており、スポット診断では現時点の状況を把握でき、継続的診断では定期的な監視とダッシュボード提供により運用負荷を軽減します。
トライアルから本格運用まで、製品QAや継続的なサポート・改善提案でお客様のセキュリティ対策を包括的に支援します。
お客様のご要望や環境に応じて製品を選定、ご紹介することが可能です。
下記の資料では、IT資産の管理不足に起因する企業の課題や、ASMの概要、都築電気のASMサービスについてより詳しく解説していますので、ご関心のある方はぜひご覧ください。
ホワイトペーパー