ASMツールには多くの種類があり「どれを選べばいいか」迷いますよね。後から知ったサービスの方が適していることもよくあります。導入の失敗を避けるためにも、まずは各サービスの資料をBOXILでまとめて用意しましょう。
⇒
ASMツールの資料をダウンロードする(無料)
ASMツールとは
ASMとは「Attack Surface Management(アタックサーフェスマネジメント)」の略で、インターネットからアクセス可能なIT資産のぜい弱性やリスクを特定し、管理するためのツールです。攻撃者の視点から攻撃対象領域(アタックサーフェス)を可視化し、継続的に監視・管理することで、サイバー攻撃への対策を強化します。
ASMについては、経済産業省が「 ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~ 」をPDFにまとめて公開しています。ASMの基本的な考え方や特徴、取り組み事例を知りたい方は、参考にするとよいでしょう。
ASMとぜい弱性診断との違い
ASMとぜい弱性診断はどちらも、サイバーセキュリティ対策において重要な役割を果たしますが、目的とアプローチに違いがあります。ASMは、把握していないIT資産も含めた、外部から攻撃者が侵入可能なすべてのポイントを対象として潜在的なリスクを洗い出し、継続的に監視・管理します。
一方、ぜい弱性診断は、特定のシステムやアプリケーションに存在する既知のぜい弱性を検出・評価するための手法です。指定された対象に対して詳細にぜい弱性を調査し、精密な診断結果から対策を講じるアクションにつなげられます。
企業のセキュリティ体制を強化するためには、ASMとぜい弱性診断を組み合わせて実施することが推奨されます。ASMで未知の資産を含めた全体像を把握し、ぜい弱性診断で重要資産の詳細なリスク評価を行うという組み合わせが効果的です。
ぜい弱性診断について詳しく知りたい方は、次の記事を参考にしてください。
脅威インテリジェンスとは
脅威インテリジェンスとは、サイバー攻撃やセキュリティ脅威に関する情報を収集・分析し、それを活用してセキュリティ対策を強化するための知識やサービスのことです。
ASMツールの中には、脅威インテリジェンスと連携しているサービスもあります。
ペネトレーションテストとは
ASMと組み合わせて用いられるセキュリティ診断に、ペネトレーションテストがあります。
ペネトレーションテストとは、企業ネットワークに接続されているシステムに、攻撃者と同様の手口で侵入を試みて、セキュリティレベルを評価するテストです。自社のシステムがサイバー攻撃を受けたらどうなるかという観点で、セキュリティレベルを確認できます。
ASMサービスに加えて、ペネトレーションテストを提供しているベンダーもあるので、ツール導入の際には確認しておくとよいでしょう。
ASMツールの機能
ASMツールでできること、利用できる機能は次のとおりです。
| 機能 | 詳細 |
|---|---|
| IT資産の洗い出し | ドメイン名やホスト名、IPアドレスをもとに、既知および未知のIT資産を自動的に検出する機能。これにより、意図せず公開されているシステムや、シャドーIT(企業が許可していないIT資産やサービス)の把握が可能です。 |
| ぜい弱性の検出 | 洗い出したIT資産に対して、セキュリティ上のぜい弱性をスキャンし特定します。 |
| リスクの優先度評価 | 発見したぜい弱性や、セキュリティリスクの対応優先度を評価する機能。CVSS(共通ぜい弱性評価システム)スコアや攻撃の兆候にもとづいて判断されることが多い。 |
| 自動通知 | 新たなぜい弱性や異常が検出されると、管理者に自動でアラートを発する機能 |
| 継続的な監視 | 一回限りの診断ではなく、IT資産やリスク状況を継続的に監視し、新たな脅威や変化をリアルタイムで把握する。 |
| ペネトレーションテスト | 一部のASMツールでは、自社システムのセキュリティレベルを検証するためのペネトレーションテスト(侵入テスト)を提供しているサービスもあります。 |
ASMツールの選び方
ASMツールを選ぶ際は、自社のニーズや環境に合ったものを選定することが重要です。次のポイントをもとに比較検討するとよいでしょう。
目的に合ったASMのタイプを選ぶ
ASMツールは主に2つのタイプに分類されます。
攻撃対象の把握・管理に強みを持つタイプ
このタイプは自社のIT資産に見落としがないか、システム全体を調査し、ぜい弱性の有無を把握・管理することに特化しています。企業内に存在する未把握のサーバーやネットワーク機器などを見つけ出し、定期的にぜい弱性情報を提供します。代表的なツール例は次のとおりです。
- Securify
- GMOサイバー攻撃ネットde診断
- Cortex Xpanse
- CyCognito(サイコグニト)
- Tenable Attack Surface Management
ペネトレーションテストにも対応するタイプ
IT資産の検出とぜい弱性情報の収集・把握に加えて、ぜい弱性のリスク評価ができるタイプです。ペネトレーションテストによる攻撃シミュレーションを実施することで、実際に侵入できるかや、ぜい弱性の危険度を評価し、対処すべきぜい弱性の優先順位付けに役立ちます。代表的なツール例は次のとおりです。
- イージスEW
- ULTRA RED
IT資産の検出範囲
ASMツールは、企業が管理しているIT資産を検出し、可視化する役割を担います。クラウド環境、オンプレミス環境、Webアプリケーションなど、どの範囲の資産をカバーできるかが選定のポイントです。自社のインフラ構成を把握し、適切な検出範囲を持つツールを導入する必要があります。シャドーITのような未知の資産を見つける機能があるかどうかもチェックポイントです。
ぜい弱性検出の機能
ASMツールの中心機能は、潜在的なリスクを特定するぜい弱性検出機能にあります。既知のぜい弱性(CVEベース)だけでなく、設定ミスや潜在的リスクを検出できる機能があると安心です。脅威インテリジェンスとの連携、検出の自動化、リアルタイムでの更新があるかも確認しましょう。
使いやすさと統合性
ASMツールは日常的に使用するため、操作性が重要です。ダッシュボードが優先順位を示してくれる機能があること、他のセキュリティツールと容易に連携できるかを確認しましょう。SIEM(セキュリティ情報イベント管理)やSOAR(Security Orchestration, Automation and Response)との連携が可能であれば、インシデント対応が迅速になります。
また、ASMの診断レポートがわかりやすければ、情報システム部門で追加資料を作成したり、補足をしたりする負荷を軽減できます。
Securify や GMOサイバー攻撃ネットde診断 は、国産ASMツールなので、ダッシュボードやレポートがわかりやすいです。
サポート体制
ASMツールを導入した後のサポート体制も重要です。セキュリティ関連のトラブル対応やシステム修正に関するサポートが充実していると、運用リスクを軽減できます。ベンダーが迅速かつ丁寧に対応してくれるかを確認しておくと安心です。
Securify やイージスEWは、システム改善に関するサポート依頼が可能です。
おすすめのASMツール比較13選
おすすめのASMツールを紹介します。それぞれの強みや機能などを確認しましょう。
Aikido Security
Aikido Security は、クラウドインフラとWebアプリケーションのぜい弱性を包括的に診断し、リアルタイムで可視化するセキュリティ診断ツールです。ぜい弱性を即座に検出し、アラートを自動トリアージするため、誤検知や過検知を軽減します。
静的コード分析や動的アプリケーションテスト、クラウド構成ミスチェックなどさまざまなセキュリティツールを一つに集約しているため、幅広いぜい弱性に対して、包括的に対応できます。
Securify
Securify は、ぜい弱性診断を組み合わせ、攻撃者視点で診断を行える国産ASMツールです。定額制のため、診断上限回数・時間は無制限で、運用コストを抑えて継続的診断が可能です。
ぜい弱性検出はもちろん、修正方法や解説も明示し、改善までサポートしてくれます。Webアプリケーション診断やWordPress診断、SaaS診断に対応し、専門知識不要で診断を実施できるため、アジャイル開発や保守開発などの用途におすすめです。
GMOサイバー攻撃ネットde診断
GMOサイバー攻撃ネットde診断 は、外部からの攻撃面となるIT資産の管理と、ぜい弱性を診断できる国産ASMツールです。攻撃の対象となり得るIT資産を見える化し、組織全体のセキュリティ体制を強化できます。
システムに毎回ログインする必要はなく、問題があるときのみアラートの検知が届くのも特徴。専門家の運用サポートにより、優先すべき事柄がわかるので、ムダのないセキュリティ対策が可能です。1サイトあたり、3,000円で診断できるコストパフォーマンスの高さも、人気の理由です。
Recorded Future
Recorded Future は、世界中のセキュリティに関する脅威を収集・分析し、最新の情報をリアルタイムに提供する脅威インテリジェンスサービスです。実用性の高い情報を得られるので、組織のリスクとなり得るものを取得しやすく、早期対策に活用できます。
一般的に広くアクセスできるSNSをはじめとした公開情報はもちろん、専門的なスキルを持たなければアクセスが困難な、ダークウェブ上の情報も収集しているのが特徴です。SIEMやEDR(Endpoint Detection and Response)、SOARといった外部ツールとのAPI連携にも対応しており、既存のワークフローに組み込むことで、セキュリティ対応の高速化が可能です。
Cortex Xpanse
Cortex Xpanse は、オンラインに存在するIT資産を、自動で検出・監視できるASMツールです。攻撃対象領域を外部から観察することで、状態をリアルタイムに確認できるのに加えて、ぜい弱性の特定により、サードパーティのリスクを軽減できます。
また、新たな脅威や潜在的なぜい弱性が発見されると、即座にアラートが発生するので、セキュリティインシデントの早期対応が可能です。IT資産に関するデータも定期的に更新されるため、ネットワークに変更があった場合も即座に対応できます。
CyCognito
CyCognito(サイコグニト) は、IT資産の探索やぜい弱性診断により、潜在的なリスクを洗い出せるASMツールです。攻撃者に先んじて攻撃の糸口をなくすことで、ターゲットにされるリスクを低減できます。既存のサービスやWebサイトの動作に影響を与えず、人的リソースの割り当ても不要なため、IT管理者に負担をかけずにセキュリティの強化が可能です。
さらに、機械学習や自然言語処理などを使った独自の探索技術により、子会社や関連会社も含めた、総合的なIT資産管理ができます。動的アプリケーションテストにより、通常の検出ツールだけでは診断できない、Webアプリケーションの重大なぜい弱性の有無も診断できるのも強みです。
MS&ADサイバーリスクファインダー
MS&ADサイバーリスクファインダー はセキュリティ上の脅威を可視化し、情報の分析からリスク低減策の提案までを、包括的にサポートするサービスです。
診断スコア・被害想定額・セキュリティ上の課題など、さまざまなデータをレポート形式で提供してもらえるのに加えて、診断結果について専門家による面談も受けられます。また、サイバー攻撃に対する耐性を高めるためのトレーニングや、ワークショップも提供しているので、システムの導入とともに利用するのもおすすめです。
イージスEW
イージスEW は、ペネトレーションテストを備えた世界的なASMツールです。クラウドサーバー診断やメールの送信ドメイン認証、野良端末検出機能、情報漏えい検知といった広範囲に渡るぜい弱性診断が可能。ドメインの診断結果は各分野別に、CVSS(共通ぜい弱性評価システム)の深刻度スコアを色分けして表示されます。
さらに、ASMぜい弱性診断とペネトレーションテストの結果を受けて、システム改修を実施したい場合には「伴奏サービス」を依頼できます。
ULTRA RED
ULTRA RED は、ネットワークやシステムの潜在的なぜい弱性を効率的に発見し、セキュリティリスクの軽減を図れる診断サービスです。システム環境に応じた診断メニューと診断範囲の設定が可能で、ぜい弱性検出だけでなく、ゼロデイ攻撃のような高度なリスクも検出できます。
不正アクセスと攻撃の自動シミュレーションも可能で、診断結果をもとにした詳細なレポートと、具体的な改善策の提示を受けられるのも特徴。必要に応じて再診断や追加のセキュリティコンサルティングも提供しているので、自社のセキュリティを総合的に高められます。
Tenable Attack Surface Management
Tenable Attack Surface Management はインターネット上の資産や、潜在的に脅威を受けやすい領域を可視化・管理できるEASM(外部攻撃面管理)ツールです。複雑化するクラウド環境や、デジタルツールの運用環境に柔軟に対応できるのが強みで、漏れやすい外部公開された資産や、管理から外れたIT資産のリスクを素早くチェックできます。
サービスベンダーの脅威インテリジェンスと連携し、発見されたぜい弱性のリスクレベルを評価。優先度をつけて対応を促進するので、緊急度の高いリスクから効率的に対処できるのが特徴です。さらに、自動でIT資産やサービスを発見・把握する機能も備わっており、新しい資産がネットワークに接続された際にも、すぐに検出してリスクを評価できます。
Macnica Attack Surface Manegement
Macnica Attack Surface Manegement は、IT資産の外部からの攻撃リスクを可視化し、潜在的なぜい弱性やリスクを発見・評価するために設計された、EASMソリューションです。クラウドサービスやインターネット上のWebアプリケーションなど、近年増加している外部攻撃面を包括的に管理し、セキュリティ体制の強化をサポートします。
24時間365日、外部攻撃面を監視し、常に最新の脅威インテリジェンスを反映したリスク評価を実施。新たに発見されたぜい弱性やリスクにも、即座に対応できるのが強みです。リスク評価の結果をわかりやすくまとめたレポートを提供してもらえるので、社内でのセキュリティの改善提案もしやすいでしょう。
マネージドASMサービス
マネージドASMサービス は、攻撃者目線から継続的なIT資産の探索や、ぜい弱性評価が可能なASMサービスです。企業が外部に露出したIT資産や、潜在的な攻撃リスクを効果的に監視・管理できます。
インターネット上に公開されているすべての資産を可視化し、まとめて管理できるのが特徴で、専任のセキュリティエキスパートと監視システムが24時間365日、攻撃面を監視します。また、最新の脅威インテリジェンスをベースにリスク分析も可能。緊急性・重要度に応じた対応策の提案が受けられます。
AeyeScan
AeyeScan は、自動巡回によりサイトを把握し、画面遷移図を自動作成できるぜい弱性診断サービスです。Web-ASMにも対応でき、保有しているドメイン一覧を抽出後、未把握のドメインを巡回対象に追加し、管理対象の全ドメインに対し、ぜい弱性診断を実施します。
レポートは日本語と英語に対応し、リスク一覧や結果サマリなどを用途に合わせて出力可能です。生成AIにより、フリーフォーマットの指示や画面の自動類似判定、パラメータ用途の推測、セッションIDの規則性解析、診断結果からの総評生成にも対応できます。
ASMツールを導入するメリット
ASMツールを導入するメリットは、主に次のとおりです。
- IT資産の包括的な把握とリスク管理
- 迅速なセキュリティ対応が可能になる
- コンプライアンスを順守できる
それぞれ具体的に解説します。
IT資産の包括的な把握と管理
ASMツールを利用すれば、企業が所有するIT資産を可視化し、簡単にリスク評価が可能になります。インターネット上に公開されているIPアドレスやサブドメインに加えて、クラウド資産・Webアプリケーションなどを自動で検出し、一覧として整理可能です。
IT管理者が認識していなかったシャドーITや未管理の資産も把握でき、全体的なセキュリティリスクを低減できます。
迅速なセキュリティ対応が可能になる
ASMツールは、検出されたIT資産に対して、継続的にぜい弱性や設定ミスを監視します。攻撃者がぜい弱性を悪用する前に修正が可能になり、サイバー攻撃のリスクを低減可能です。新たなぜい弱性が発見された場合には、即座にアラートを発するため、迅速な対応が求められるセキュリティ対策に役立ちます。
また、検出されたリスクの緊急度の自動評価により、優先度に応じた対応の提案を受けられるサービスも多くあるので、最も重要な脅威から優先的に対処が可能です。そのため、限られた人的リソースを有効に活用し、迅速かつ効率的にリスクを管理できるようになるでしょう。
コンプライアンスを順守できる
IT資産の可視化やリスク管理を通じて、さまざまな規制やセキュリティ標準に準拠できるようになることもASMツールの導入メリットです。ASMツールによる継続的なモニタリングとレポーティングにより、セキュリティの現状を把握し、法令や規制にもとづく監査の準備を整えられます。
定期的なセキュリティ評価レポートを迅速に作成できるため、企業全体のセキュリティ意識向上にも寄与します。
ASMツールのデメリット
ASMツールの導入は多くのメリットがある一方で、次の点には注意が必要です。デメリットを理解したうえで、事前に対策を考えておきましょう。
内部ぜい弱性への対応が不十分
ASMツールは、主にインターネットに公開された外部IT資産の監視に特化しており、内部ネットワーク内の資産や非公開のシステムに対するぜい弱性検出には限界があります。そのため、内部からの攻撃や内部資産のリスク評価においては不十分であり、ASMツールによる外部対策だけではセキュリティを完全には確保できません。
解決策として、内部向けのぜい弱性診断ツールやペネトレーションテストを併用することも検討するとよいでしょう。
誤検出が発生しやすい
ASMツールで高感度のスキャンを行うことで、実際には問題のない項目をぜい弱性として検出してしまうケースが見られます。これにより、誤検出やアラートが多発し、不要な調査や対応が発生することがあります。結果として、セキュリティ担当者の負担が増加し、真に対応すべき脅威が埋もれてしまう可能性があることに注意が必要です。
導入と運用の負担が大きい
ASMツールを効果的に運用するためには、適切な設定や他のセキュリティシステムとの連携が必要です。そのためには専門的な知識が求められ、十分なスキルを持つ担当者が必要となります。ツールの誤設定や不適切な運用がかえってぜい弱性を生むリスクもあり、注意が必要です。
ASMツールの導入には、サービスの初期費用だけでなく、運用にかかる人件費や管理コストも発生することを理解しておきましょう。
ASMツールでIT資産のセキュリティを強化しよう
ASMツールはIT資産を管理・監視できるサービスで、効率的なリスク評価を可能にします。攻撃を受けるリスクが高い部分を明らかにできるので、セキュリティ対策を立てやすくなります。導入するサービスを選ぶ際には、次のポイントを意識しましょう。
- 目的に合ったASMのタイプを選ぶ
- IT資産の検出範囲
- ぜい弱性検出の機能
- 使いやすさと統合性
- サポート体制
ASMツールをより深く検討したい方は、各サービス資料を請求し、比較・検討するとよいでしょう。
