増え続けるサイバー攻撃に国家として対策するために、2023年5月に経産省は「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を公開した。おそらく、この資料で各企業のセキュリティの認識を高め、実際の管理手段を提示することで、外部からの攻撃への防衛力も強化していきたい考えだろう。
しかし、この資料が思わぬ弊害を生んでいる。それは過剰な危機感である。全てのIT資産を診断する必要があるのではないか、と誤解を生んでいるのである。具体的には、「外部攻撃対策のASM」と「内部リスク対策の脆弱性診断」と混同してしまっている。
※実はこの二つの違いは経産省のASM導入ガイダンスにもしっかり明記されている。しかし、ぱっと見の印象から混同してしまっているケースをよく見かける。
ASMとは、Attack Surfaceつまり、公開されているIT資産に対する攻撃対策ツールである。厳密にいえば、公開しているIT資産がなければほとんど必要性がない。また、契約しているSaaSサービスは実質対象外である。ゆえにほとんどの企業は、自社保有のホスティングWEBサービスや拠点に設置しているルーター等のみが対象になる。ところが、先の脆弱性診断との混同もあり、また国や自治体の入札などにASM実施を要件としているのではないかという不安から、対象が数点しかないのにも関わらず、ベンダーにASMを依頼してしまいたくなる。そして診断一回に「そこそこ」お金がかかる。
ここで少し待って欲しい。自ら簡単に診断できる方法がある。これまた宣伝のようだが、MicrosoftのDefender EASMというサービスである。Azureサービスのこちらは、ベンダーに頼まずともASMがすぐにできる代物だ。使い方は簡単で、会社のドメインとグローバルIPアドレスを登録するだけである。費用も資産一つあたり月50円程度で、しかも30日間は無料となっている。ベンダーに依頼する前に、こちらでまず調べてみるとよい。
ASMは一度やればいいというわけではなく、継続して実施する必要がある。ところが先述のとおり、ほとんどの企業はASMの対象が少ない。少ないのにも関わらず、ベンダーと定期契約をして高額の診断料を払う必要性は低い。同じ費用をかけるのであれば、ASMより内部IT資産のセキュリティ対策である脆弱性診断や、ソーシャルエンジニアリング対策にかけるべきである。
自社に公開IT資産が少ないのであれば、ASMをMS Defender EASMでお金をかけずに継続実行し、他のセキュリティ対策に費用をかけてみてはいかがだろうか。
2026年3月