外部(External)ASMとは?その内容について解説 ~EASM編~
はじめに
近年、サイバー攻撃の入口は、企業がインターネット上に公開している外部資産へと大きく広がっています。 特にクラウドサービスやリモートワーク環境の普及により、企業の「攻撃対象領域(Attack Surface)」は年々拡大し続けています。このような状況で注目されているのが ASM(Attack Surface Management):アタックサーフェスマネジメントです。
前回の記事『ASM(Attack Surface Management)とは?その概要と導入ステップについて解説~』では、ASMの全体像や概念的な枠組みについて紹介しました。今回からはシリーズとして、ASMをより深掘りしていきます。
ASMには大きく分けて外部(External)と内部(Internal)領域に存在する攻撃面の2種類があります。本記事以降では、これらを EASM(External Attack Surface Management) と IASM(Internal Attack Surface Management) と呼ぶことにします。また、EASMはインターネットに公開されている外部資産を対象に、IASMは社内ネットワークや内部システムを対象にしています。
本記事ではEASMを取り上げ、その本質を掘り下げて解説します。そして次回以降はIASMを扱い、「外部と内部をどのように組み合わせて管理するのか」というASMの全体像をシリーズで明らかにしていきます。
外部ASM(EASM)とは何か
主要機関による EASM の捉え方
EASMは業界で確立された概念であり、機関やベンダーは次のように説明しています。
Gartner 社
EASM を「インターネットに公開された企業資産・システムと、それに伴う露出(誤設定、露出データ、サードパーティ脆弱性など)を発見・管理するプロセス、技術、マネージドサービス群」と説明しています。
NIST (⽶国国⽴標準技術研究所)
NISTはアタックサーフェスについて「外部」と「内部」を明確に区別していませんが、その中でもインターネットに公開されている境界部分に焦点を当て、それを継続的に発見・評価・監視する取り組みが EASM(External Attack Surface Management) にあたります。
経済産業省
組織の外部(インターネット)からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス と説明しています。
ISOG-J(日本セキュリティオペレーション事業者協議会)
組織の外部(インターネット)からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスと説明しています。
これらの見解を総合すると、EASM は複数の公的・民間機関がその重要性を認める実践的なセキュリティアプローチであることが分かります。
EASMの対象となる資産
EASMは、企業がインターネット上に公開している外部資産を継続的に可視化・監視し、潜在的リスクを把握・低減する仕組みです。
対象となる資産は多岐にわたります。
公式/非公式のWebサイトやサブドメイン
外部公開APIや開放ポート
クラウドサービス上のリソース(ストレージ、仮想マシンなど)
部門導入のSaaS利用(シャドーIT)
誤って公開されたGitHubリポジトリやS3バケット
EASMの最大の特徴は、組織が気付いていない外部資産や誤設定を攻撃者より先に見つけること にあります。つまり、防御の第一歩を「攻撃者の視点」で捉える点にこそ価値があるのです。
EASMが必要とされる理由
近年、次のような状況を背景に、EASMは変化する脅威環境に対応するための“戦略的な一手”として、多くの組織に取り入れられ始めています。
1. 管理外資産の増加
クラウド利用や部門導入のSaaSの増加により、IT部門が把握できていない資産が増加しています。こうした「シャドーIT」は往々にしてセキュリティ対策が不十分であり、攻撃者に狙われやすい存在です。
2. 攻撃者は外部調査から始める
標的型攻撃の第一歩は「情報収集」です。攻撃者は公開されたドメインやサーバを調査し、古いシステムや放置された資産からの突破口を探しています。
3. 従来の脆弱性管理の限界
脆弱性診断や一般的なペネトレーションテストは「認識済みの資産」が前提です。EASMは「認識されていない資産」を発見する点で異なり、従来の管理を補完する位置づけとなります。
EASMの主な機能
資産の自動探索
サブドメイン、IPアドレス範囲、クラウド環境を自動で探索し、資産の棚卸しを行います。リスク評価
発見した資産に対し、脆弱性や設定不備、証明書の有効期限切れなどを分析します。継続的モニタリング
新規公開された資産や構成変更を検知し、攻撃対象領域の変化を追跡します。アラートとレポート
高リスクな資産を即座に通知し、経営層やセキュリティ部門にわかりやすい形で報告します。
データソースと発見できる資産
カテゴリ | 代表的なデータソース | 発見できる情報や資産 |
スキャン(アクティブ/パッシブ) | DNS/WHOIS、BGP、Certificate Transparency Log、インターネット資産検索エンジ(Shodan/Censys など) インターネット全域スキャン結果、サーバのHTTPバナー、TLSフィンガープリント | ドメインやサブドメイン、歴史的に利用されたIP範囲、期限切れ証明書の発見 実際に公開されているサービス・ミドルウェアのバージョン、脆弱な暗号スイート、認証画面 |
コード & SaaS | GitHub/GitLab・npm/ PyPI メタデータ、公開 Storage(S3 等) | hard-coded 秘密鍵、公開済み API トークン、設定ファイル |
ソーシャルメディア | SNS(X, LinkedIn, Instagram)、Paste サイト、公開掲示板 | 流出クレデンシャルの貼付、従業員の誤投稿による機密情報露出、ブランドなりすまし・フィッシング拡散の兆候、脆弱性 PoC や攻撃ツール共有の早期検知 |
ダークウェブ | .onionサイト、フォーラム、暗号チャット | 漏えいしたクレデンシャルやゼロデイ売買、侵害予兆(初期アクセス販売)の早期発見 |
活用事例
最後に活用事例について紹介します。
事例1: 放置された開発環境
開発チームが利用していたテスト用ドメインが放置され、古いバージョンのソフトウェアが動いたまま残っていたケースがあります。EASMによって発見され、攻撃に悪用される前に閉鎖できました。
事例2: サプライチェーンリスクの可視化
委託先のクラウドサービス設定不備から情報漏えいが発生するケースもあります。EASMを利用すれば、自社だけでなく関連企業のリスクを把握でき、サプライチェーン全体の強化につながります。
事例3: ブランド保護と不正利用の検知
自社ブランドを騙るフィッシングサイトや偽ドメインを早期に検出することもEASMの役割です。顧客被害やブランド毀損を防ぐ観点でも有効です。
まとめと次回予告
EASMは、「攻撃者が見ているあなたの姿」を明らかにする仕組みです。未知の資産、管理外の資産、脆弱な資産を先回りで見つけ、リスクを潰すことは、今や組織の基本的な防御戦略の一つとなっています。
しかし、外部資産の管理だけでは十分ではありません。攻撃者が一度社内に侵入すれば、次に狙うのは内部ネットワークや認証基盤です。ここで重要になるのが IASM(Internal Attack Surface Management) です。
次回はIASMを深掘りし、次のような点を解説する予定です。
内部ASMの対象範囲(ネットワーク機器、社内サーバ、認証基盤など)
内部攻撃面の可視化とEASMとの違い
本記事で外部の重要性を理解した上で、次回は内部ASMを通じて「組織全体のASM」をどう実現するのかを考えていきましょう。
参考情報
- 【NIST(米国国立標準技術研究所)】SP800-53 Security and Privacy Controlsfor Information Systems and Organizations(2020年9月23日)
- 【経済産業省】 ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~(2023年5月23日)
- 【日本セキュリティオペレーション事業者協議会】ASM導入検討を進めるためのガイダンス(基礎編)(2024年11月)
関連サービス
