なぜ当たり前の対策が必要なのか

　セキュリティ対策は、パスワードを人に教えるな、不審なリンクはクリックするなと、往々にして当たり前のことを言っている。だからといって無意味というわけでもない。それができないからルール化、明文化されているのだ。

　なぜ当たり前のことができないかというと、厳格な運用や規定ではそもそも業務が成り立たないからだ。敵の攻撃が怖いからといっても、城壁にいっさいの出入り口を作らないわけにはいかない。

　しかし、すべての情報を秘匿してしまうということは、社会から存在を消すことと同義であり、オフィスや店舗、公開サーバ、あるいは法や慣習、ルールによる情報公開など、これらは外界に対してオープンでなければ意味をなさない。

　このような公開情報は、通常、機密情報を慎重に排除するなどの対策が施される。店舗やオフィスのエントランスなど外界に接触する部分も、内部や内部情報へのアクセスは制限される。だが、攻撃者はそのちょっとした不備や脆弱性をついてくるのだ。

ASMが注目される理由

　情報管理については、自分たちが細心の注意を払っていても、複数の情報を分析することで秘匿していた情報が露見する場合もある。業務サーバのOSバージョンなどを公開していなくても、取引ベンダーや導入時期がニュースやリリースなどでわかれば、システム構成を絞り込むことができる。さらに、バージョンやシステム構成がわかれば、攻撃に使えるツールや脆弱性を判断することができる。

　攻撃者は公開情報とインテリジェンスを駆使すれば、さまざまな突破口を思いつく。ASMは、このような情報を調べ、企業や組織のリスクを管理することである。

　ASMが注目されるのは、業務デバイスの多様化（PC、スマホ、IoTなど）、クラウド化が進み、インターネットを介した公開ポイント、接続ポイントが増えたことが関係する。リモートワークの発達と合わせて、ZTNA（ゼロトラストネットワークアーキテクチャー）が浸透したことも影響があるだろう。

　業務システムにつながるのは社内のPCだけではない。ZTNA環境では、あらゆる場所からPC、ラップトップ、スマートフォン、情報端末、カメラ、産業機械、自動車などの接続を前提としなければならない。攻撃者は従業員のPCやサーバを狙わずとも、いくらでも攻撃ポイントは広がっている。

ASMのプロセスとは

　ASMでは、まず情報収集から始めることになる。インターネットや公開情報からどんな情報が得られるのかを検証する。その情報によってどんな攻撃が可能か、そのリスク評価を行い、必要な対策を考える。公開情報は日々変化するため、ASMは継続した情報収集とリスク評価が重要だ。1回やれば終わりというものではない。

　公開情報を多角的に収集して、分析を行うことをOSINT(Open Source Intelligence)という。ASMの情報収集はまさにOSINTそのものといえる。OSINTの情報元はインターネット由来のものだけではないが、ASMで行うOSINTは通常インターネットから得られる情報に限定することが多い。

　また、ASMの情報収集をどこまで広げるかは、ASMを提供するセキュリティベンダーやサービスプロバイダーごとに範囲や作業内容が異なり、実施者の目的に応じて、提供者の選別や調整を行う。

　情報収集段階で調査するのは、インターネットで検索できる自社のIPアドレスやホスト名、サーバ名、OSとそのバージョン、利用しているアプリケーションやミドルウェア、外部にオープンになっているポート番号である。

　必要であれば、自社システムに接続しているデバイスの種類なども調べる。シャドーITの発見や管理につながる情報だが、これはASMにおいても役立つことがある。 【次ページ】2段階の情報収集で攻撃ポイントを評価