LASSIC Media らしくメディア

2026.07.13 らしくコラム

ASM(攻撃対象領域管理)導入を外注で進める勘所

LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託

脅威監視のイメージ

この記事のポイント

  • ASM(Attack Surface Management)は、外部からアクセス可能なIT資産を発見し、リスクを継続的に検出・評価する一連のプロセスとISOG-J/JNSAのガイダンスで定義されています。
  • 脆弱性診断が「把握済み資産を年数回、深く」点検するのに対し、ASMは「未把握資産も含め、広く高頻度」に発見する点で目的が異なります。
  • 経済産業省の委託事業でIPAが実施したASM診断では、対象126社の全社で何らかの脆弱性が検知されており、資産の把握不足は珍しくありません。

ASM(攻撃対象領域管理)とは——外部公開資産を継続的に発見するプロセス

セキュリティスキャンのイメージ

ASM(Attack Surface Management、攻撃対象領域管理)とは、組織の外部(インターネット)からアクセス可能なIT資産を発見し、そこに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスを指します*1。ここでいうアタックサーフェス(攻撃対象領域)には、公開Webサーバーやドメイン・サブドメイン、IPアドレス、クラウド上の設定情報などが含まれます*1

図
図:ASMが継続的に回すサイクル(資産発見→情報収集→リスク評価→是正・継続監視→①へ)

ポイントは「継続的」という部分です。ASMは一度きりの点検ではなく、サイクルとして繰り返し実施することを前提としています*2。特に未知のアタックサーフェスがある程度収束するまでは、高い頻度でこのサイクルを回すことが望ましいとされています*2

なお脆弱性の有無を判定する手段は、能動的なスキャンに限られません。エージェントによる情報収集や、公開されている脆弱性カタログとの照合など複数の方式が存在し、検出方法そのものはASMの定義上は問われていない点も押さえておきたいところです*2

なぜ今ASMが求められるのか——資産増加とシャドーITの背景

ASMへの関心が高まっている背景には、企業のIT資産が急速に増えている実情があります。DX推進やクラウド利用の拡大、テレワークの普及によって、Webサイトの構築やクラウドリソースの一時利用がこれまでより容易になりました*3。その結果、情報システム部門がすべてのIT資産を把握・管理しきれず、管理の抜け漏れが生じやすい状況が生まれています*3

いわゆるシャドーIT(情報システム部門の許可や把握なく現場が導入・利用するIT資産やサービス)や、担当者の異動・退職で存在を忘れられた検証環境、初期設定のまま放置されたクラウドサービスなどは、この管理の抜け漏れの典型例です。こうした資産は自社では気づきにくい一方、外部からは検索エンジンやポートスキャンを通じて発見され得るため、リスクの入り口になり得ます。

実際、経済産業省の委託事業としてIPAが実施したASM診断事例集作成業務では、複数業界・複数規模の中小企業126社を対象に診断を行った結果、全社において何らかの脆弱性が検知されたと報告されています*4。自社の資産状況を客観的に把握できていない企業が一定数存在することを示す結果と言えます。

脆弱性診断・ペネトレーションテストとの違い——目的を分けて理解する

ASMとよく比較される取り組みに、脆弱性診断とペネトレーションテストがあります。いずれもリスクを見つける活動である点は共通しますが、対象範囲と実施頻度、目的の置き方が異なります。

脆弱性診断は、組織が把握している特定の資産に対し、疑似的な攻撃通信を用いて脆弱性の存在を検証・特定する取り組みです*5。対象を絞って深く正確に調べる一方、実施頻度は年1〜数回程度にとどまることが一般的です*5。ペネトレーションテストはさらに踏み込み、実際に侵入や被害の拡大が可能かどうかを検証者が試みる点で、単一の脆弱性の有無を確認する診断とは目的が異なります。

一方でASMは、組織が把握しているかどうかに関わらず、インターネット上に公開されているIT資産を網羅的に対象とします*5。「広く浅く早く」発見と評価を回すのがASMの特性で、「狭く深く正確に」検証する脆弱性診断とは役割が補い合う関係にあります*5。ASMツールは脆弱性診断の代わりにはならず、逆に脆弱性診断もASMツールの代わりにはならないとガイダンスでも整理されています*5

両者の違いを整理すると次の通りです。

項目 ASM 脆弱性診断・ペネトレーションテスト
対象資産 未把握資産を含む外部公開資産全体*5 組織が把握している特定資産*5
実施頻度 継続的・高頻度なサイクル*2 年1〜数回程度*5
検出の深さ 広く浅く早く*5 狭く深く正確に*5
主な目的 未知の資産・設定ミスの発見*1 既知資産の脆弱性の検証・特定*5

EASM・CAASM・CTEMとの関係——用語の整理

ASM周辺には、EASM・CAASM・CTEMといった類似の略語が複数存在し、混同されやすいところです。ここで一度整理しておきます。

EASM(External ASM)——外部公開資産に的を絞ったASM

EASMは、インターネットに公開されている資産の発見と脆弱性管理に絞ったプロセスや技術を指す言葉です*6。国内のASM導入ガイダンスが定義するASMは、外部からアクセス可能な資産を対象とする点でEASMとほぼ同じ範囲を指しており、日本国内では両者がほぼ同義で使われる場面が多く見られます*1*6。継続的な監視によって、シャドーITや未管理の第三者リソースを自動的に発見できる点が特徴とされています*6

CAASM(Cyber Asset Attack Surface Management)——内部・外部を横断する資産の可視化

CAASMは、CMDBや脆弱性スキャナ、EDR、クラウドプラットフォームなど既存のセキュリティツールからAPI連携でデータを集め、既知・未知の資産を統合的に可視化するアプローチです*7。EASMが外部公開資産に焦点を絞るのに対し、CAASMは内部資産も含めて対象とする点が異なります*8。EASMで得られる外部視点の情報は、CAASMが統合するデータソースの一つと位置づけられます*8

CTEM(Continuous Threat Exposure Management)——継続的なリスク低減の枠組み

CTEMは、スコーピング・発見・優先順位付け・妥当性確認・動員化という5段階を繰り返しながら、組織のセキュリティ姿勢を継続的に改善していく枠組みです*9。ASM(EASM)は、この5段階のうち発見・優先順位付け・妥当性確認の各段階で重要な役割を担うとされ、CTEMに取り組む最初の一歩としてASMから着手する進め方が紹介されています*9。ASMを単体の製品選定として捉えるのではなく、より広い継続的なリスク低減の枠組みの一部として位置づけると、導入目的が整理しやすくなります。

ASM導入の進め方——発見から継続監視までの流れ

ASM導入を検討する際は、いきなりツール選定から入るのではなく、自社が抱える課題を把握したうえで段階的に進める流れが実務的です。

最初のステップは、外部からアクセス可能な資産の発見です。ドメイン・サブドメイン、IPアドレス帯、クラウド上のリソースなど、既知の管理台帳と実際の公開状況を突き合わせ、認識していなかった資産がないかを洗い出します*2。次に、発見した資産について利用製品やバージョン、公開ポートといった構成情報を収集します*2

続いてリスク評価の段階に移ります。収集した情報を既知の脆弱性情報や設定ミスのパターンと照合し、対応の優先度を判断します*2。既知資産であれば管理部門への対応依頼、所有者が不明な未知資産であれば所有部門の特定から着手する流れになります*2。最後に、対応状況を追いながら発見・評価のサイクルを継続的に回していきます。未知のアタックサーフェスがある程度収束するまでは、実施頻度を高めに保つことが推奨されています*2

この一連の流れを社内の体制だけで回し続けるか、外部の専門パートナーに委託するかは、対象資産の規模や運用担当者の工数によって判断が分かれるところです。

外注時に確認したいポイント——依頼範囲と継続運用の握り方

ASMを外注する場合、まず確認したいのは依頼範囲の広さです。資産の発見だけを行うのか、情報収集・リスク評価まで含むのか、さらに発見した資産の是正対応の支援まで担うのかによって、委託先に求める体制は変わってきます。

次に重要なのが、継続監視の運用設計です。ASMは一度の棚卸しで終わる取り組みではなく、サイクルとして回し続けることに意味があります*2。検出結果をどのような頻度で報告し、誰が優先度を判断し、どの部門が是正対応を行うのかという役割分担を、委託前に元請(プライムベンダー)側とすり合わせておく必要があります。

また、脆弱性診断やペネトレーションテストと役割が異なる取り組みである以上、既存の診断ベンダーとASMの委託先が別になるケースも珍しくありません。この場合は、双方が検出した情報を突き合わせる窓口を一本化しておくと、対応の重複や抜け漏れを防ぎやすくなります。自社の資産規模やクラウド利用状況を踏まえたうえで、依頼範囲を段階的に広げていく進め方も選択肢の一つです。

まとめ:ASM導入で押さえる3つの軸

本稿ではASM(攻撃対象領域管理)の考え方と導入の進め方を、公開されているガイダンスや解説情報をもとに整理しました。要点は3つに集約できます。第一に、ASMは外部公開資産を発見し、リスクを継続的に検出・評価する一連のプロセスであり、脆弱性診断やペネトレーションテストとは目的が異なる取り組みです*1*5。第二に、EASM・CAASM・CTEMといった関連用語は互いに競合するものではなく、ASM(EASM)をCTEMの発見・優先順位付け・妥当性確認を支える起点として位置づけると整理しやすくなります*9。第三に、導入は発見から継続監視までのサイクルを前提としており、外注時は依頼範囲と継続運用の役割分担を事前にすり合わせておくことが実務上の分かれ目になります。

LASSICに相談するメリット

LASSIC IT事業部は、元請(プライムベンダー)としてシステムの保守・運用を受託しています。外部公開資産の現状把握から、発見された資産のリスク評価、是正対応の優先度付け、継続監視の運用設計まで、段階を分けてご相談いただける体制を整えています。自社でどこまで資産を把握できているか分からないという段階からでも、現状の棚卸しからご相談いただけます。

よくある質問

ASMと脆弱性診断はどちらか一方だけ実施すればよいのでしょうか。

どちらか一方で代替できる関係ではありません。ASMは未把握資産も含めて広く高頻度に発見・評価するのに対し、脆弱性診断は把握済みの資産を狭く深く検証します*5。ガイダンスでも両者は組み合わせて活用する取り組みとして整理されています*5

EASMとASMは何が違うのですか。

EASMは外部公開資産に的を絞った発見・管理のプロセスや技術を指す言葉です*6。国内のASM導入ガイダンスが定義するASMも外部からアクセス可能な資産を対象としており、両者はほぼ同じ範囲を指す言葉として使われる場面が多く見られます*1*6

CAASMやCTEMとASMはどのような関係にありますか。

CAASMは内部・外部の資産情報を統合的に可視化するアプローチで、外部視点のEASM(ASM)はそのデータソースの一つに位置づけられます*8。CTEMは継続的にリスクを低減する5段階の枠組みで、ASM(EASM)はそのうち発見・優先順位付け・妥当性確認の段階を支える役割を担うとされています*9

ASMを導入すればシャドーITは把握できますか。

情報システム部門の把握なく現場が導入したクラウドサービスなど、外部から発見できる状態にある資産であれば、ASMのサイクルを通じて発見できる可能性があります。ただし発見後に所有部門を特定し、是正対応につなげる社内の運用体制がなければ、リスクの低減にはつながりにくい点にも注意が必要です。

ASM導入を外部に委託する場合、何を確認すればよいですか。

発見・情報収集・リスク評価のうちどこまでを委託範囲とするか、検出結果の報告頻度、優先度判断や是正対応の役割分担を確認します。既存の脆弱性診断ベンダーと委託先が異なる場合は、情報を突き合わせる窓口を一本化しておくと、対応の抜け漏れを防ぎやすくなります。

著者:テレリモ総研編集部 鈴木 亮佑


ITアウトソーシング・システム開発のご相談はLASSICへ

元請(プライムベンダー)として、貴社の課題に合わせた体制構築・開発支援をご提案します。まずはお気軽にご相談ください。

無料相談はこちら

ご不明な点はお問い合わせフォームからもご連絡いただけます。

  1. *1 出典:ISOG-J・JNSA「ASM導入検討を進めるためのガイダンス(基礎編)」2.2 ASMとは(https://wg1.isog-j.org/ASMGuidance/docs/chapter2/section2/
  2. *2 出典:ISOG-J・JNSA「ASM導入検討を進めるためのガイダンス(基礎編)」2.3 ASMのプロセス(https://wg1.isog-j.org/ASMGuidance/docs/chapter2/section3/
  3. *3 出典:ISOG-J・JNSA「ASM導入検討を進めるためのガイダンス(基礎編)」1.1 ASM(Attack Surface Management)の必要性(https://wg1.isog-j.org/ASMGuidance/docs/chapter1/section1/
  4. *4 出典:IPA「ASM診断および事例集作成業務報告書について」(2026年3月27日公開)(https://www.ipa.go.jp/security/reports/sme/asm-jirei.html
  5. *5 出典:ISOG-J・JNSA「ASM導入検討を進めるためのガイダンス(基礎編)」コラム「ASMツールは脆弱性診断の代わりになる?」(https://wg1.isog-j.org/ASMGuidance/docs/columns/column1/
  6. *6 出典:SentinelOne「What is External Attack Surface Management (EASM)?」(https://www.sentinelone.com/cybersecurity-101/cybersecurity/external-attack-surface-management/
  7. *7 出典:Zscaler Zpedia「サイバー資産アタック サーフェス管理(CAASM)とは」(https://www.zscaler.com/zpedia/what-is-cyber-asset-attack-surface-management-caasm
  8. *8 出典:Securify「CAASM(サイバー資産攻撃対象領域管理)とは?〜資産可視化の本質と、統合プラットフォームが注目される理由〜」(https://www.securify.jp/blog/caasm-01
  9. *9 出典:Macnica Networks Blog「CTEM実現の第一歩、ASMから変える新たな脆弱性管理の形とは」(https://mnb.macnica.co.jp/2024/10/asm/ctem.html


View