内部(Internal)ASMとは?その内容について解説 ~IASM編~
はじめに
サイバー攻撃において、外部からの入口を突破された後、次に狙われるのが社内ネットワーク・内部システム・認証基盤といった“内部”の攻撃対象領域(Attack Surface)です。クラウドサービスやリモートワークの普及によって、境界を超えた“内部”環境にも攻撃可能性が拡大しています。
前回の記事「外部(External)ASMとは?その内容について解説 ~EASM編~」では、外部資産に対するASMの概要を紹介しました。
今回はシリーズの続きとして、「内部=社内ネットワーク・認証基盤・クラウド内部群」などを対象とする内部ASM(Internal Attack Surface Management:IASM)に焦点を当て、その本質と実装ポイントを解説します。
内部ASM(IASM)とは何か
IASM の捉え方
ASMという概念について、複数の機関が次のように整理しています。
Gartner, Inc. 社
EASMに関する言及が多いが、内部領域についても「企業が認識し管理すべき、ネットワーク内・認証基盤・クラウド内部資産の露出や誤設定を継続的に発見・管理するプロセス」といった枠組みを提唱)
NIST (⽶国国⽴標準技術研究所)
NISTも「アタックサーフェスは外部・内部を明確に区別せず」ながらも、内部システムを含む“アクセス可能な資産”を継続的に可視化・評価すべきとしています。
経済産業省
「インターネットからアクセス可能な外部資産を発見し管理する」ことをEASMとして位置づけていますが、逆に“内部資産”も同様に管理すべきという議論がセキュリティ専門家の間で高まっています。
これらを総合すると、IASMとは以下のように捉えられます。
IASM = 組織の「内部」で管理・利用されるIT/OT資産および認証基盤・ネットワーク経路・クラウド内部構成などを、攻撃者の視点で可視化・評価・監視し、未知・未管理・誤設定な内部資産を把握・低減する仕組み。
IASMの対象となる資産
IASMでは、組織内環境の攻撃面を対象にします。例えば以下のような資産・環境が含まれます。
社内LAN/Wi-Fiネットワーク、拠点間VPN、ゼロトラスト構成
内部サーバ(ファイルサーバ・アプリケーションサーバ)、データベース、認証基盤(AD/LDAP/ID管理)
クラウドサービス内の構成(VPC、サブネット、IAMロール、S3バケット内部アクセス)
IoT/OT機器、産業制御システム(ICS)、ビル設備ネットワーク
内部運用ツール(構成管理、管理者端末、CI/CDパイプライン)
内部ユーザー権限、サービスアカウント、認証/認可関連の誤設定や特権アクセス
サプライチェーン内部(委託先ネットワーク接続、VPN接続、クラウド統合サービス)
これらを“攻撃者の視点”で棚卸し、監視・可視化する点がIASMの特長です。
IASMが必要とされる理由
1. 権限昇格・横展開の脅威
攻撃者が侵入に成功すると、まず「内部でどのような資産・権限が取得できるか」を探ります。認証基盤・ネットワークセグメント・特権アカウントなどがその対象となり、内部で横展開されてしまうケースが多いとされています。
2. 境界が曖昧になったネットワーク環境
リモートワーク、クラウド活用、SD-WAN、ゼロトラストなどにより、社内外の境界が曖昧になっています。このため「内部資産」が従来以上に露出・変化しやすく、可視化が困難になっています。
3. 従来の資産管理/脆弱性管理の限界
システム管理者が把握している資産に対する脆弱性診断やペネトレーションテストは依然として重要ですが、認識されていない内部資産や動的に変化する内部構成を対象とするには限界があります。IASMは「認識されていなかった内部攻撃面」を管理するための補完的アプローチとなります。
IASMの主な機能
IASMを効果的に機能させるための重要な機能・プロセスには以下があります。
資産の自動探索・可視化
社内ネットワークやクラウド内部の構成・接続・権限などを自動で探索して資産を洗い出し、可視化します。非管理機器(IoT、旧端末)、シャドーIT、サービスアカウントなどにも焦点を当てます。リスク評価と攻撃パス分析
洗い出された資産に対し、誤設定・権限過多・不要な接続経路・認証基盤の脆弱性などを分析します。さらに「侵入後にどこまで攻撃者が動けるか」を可視化するために、攻撃パス(Attack Path)の分析を実施します。継続的モニタリングと変化の検知
社内ネットワークの変更、クラウド構成の変化、特権アカウントの追加、管理者ツールの導入など、内部環境の変化をリアルタイムまたは定期的に追跡します。アラート・レポート
高リスクな内部資産(例えば管理者権限のあるサービスアカウント、不適切に開口しているネットワーク経路など)を即時通知し、経営層やセキュリティ部門へ分かりやすく報告します。
データソースと発見できる資産
IASMが価値を発揮する鍵は「どこから、どのように内部情報を集めるか」にあります。主なデータソースと、そこで発見し得る資産・設定例を整理します。
カテゴリ | 代表的なデータソース | 発見できる情報/資産例 |
|---|---|---|
ネットワーク構成 | ネットワークスキャン(内部)、ログ/フロー情報、SDP/ZTNA構成 | 内部サブネット、VLAN構成、不要な接続経路、開放ポート |
クラウド/仮想環境 | クラウド管理API、IAMポリシー、リソースアクセスログ | 過剰な権限、不要なサービスアカウント、未使用リソース |
認証/認可基盤 | AD/LDAPログ、特権アカウントリスト、ID管理システム | サービスアカウントの権限漏れ、不要なグループメンバー、認証ポリシーの甘さ |
構成管理/運用ツール | CMDB情報、構成ファイル、CI/CDログ | シャドーIT、旧バージョンの管理ツール、非セキュア運用機器 |
活用シナリオ
最後にIASMの活用シナリオを紹介します。
シナリオ1:旧管理端末の放置
ある企業では、オンプレミス運用の古い管理用端末が社内ネットワークに残されていました。IASMによる資産探索で発見され、認証基盤の横展開ルートになり得ることが明らかになりました。迅速に隔離・更新を実施し、侵害のリスクを低減しました。
シナリオ2:過剰な権限を持つサービスアカウント
クラウド環境内において、多数のサービスアカウントが過剰な管理権限を保持していました。IASMを活用することで「どのアカウントがどのリソースにアクセス可能か」「横展開時にどの範囲に影響を及ぼすか」を可視化。不要な権限削除・監査強化を実施し、管理体制を強化しました。
シナリオ3:サプライチェーン内部接続の可視化
委託先がVPN接続で自社ネットワークにアクセスしていたものの、接続の範囲や許可範囲が明確ではありませんでした。IASMによってその経路・接続先・許可内容を可視化し、不要な接続を遮断。サプライチェーン経由の侵害リスクを低減しました。
まとめと次回予告
IASM(内部ASM)は、「攻撃者が組織内に入ったあとの動き」を含めた攻撃対象領域を可視化・管理するための鍵となるアプローチです。未知・未管理・誤設定な“内部”資産を先回りで発見・対処することは、今や組織セキュリティの基本戦略の一つです。
ただし、内部資産の管理だけでは十分とは言えません。次回以降は、外部ASM(EASM)と内部ASM(IASM)をどのように連携させ、組織全体のASMを実現するかを解説していきます。
次回もぜひご期待ください。
