いま、企業のサイバー攻撃が「外部資産」から始まっている
近年のサイバー攻撃の多くは、企業の外に露出したIT資産(外部アタックサーフェス)を突破口として発生しています。
クラウド化、リモートワーク、SaaS利用、委託業者の増加…。便利さの裏で、企業の外部に晒される領域は加速度的に広がりました。
しかし、企業自身がその全てを把握しきれているとは限りません。
- 過去に使っていたサーバーが放置されている
- 役割を終えたVPN装置がネットに接続されたまま
- 誰も把握していないサブドメインが残っている
- 外部公開の設定が意図せず広がっているSaaS
攻撃者は、こうした「企業も気づいていない入口」から侵入を試みます。
この“見えない入口”を自動で洗い出し、監視し続ける仕組みが ASM(Attack Surface Management)=攻撃対象領域管理 です。
本コラムでは、初心者の方でも理解しやすいように、ASMがなぜ重要なのか、何ができるのか、どのように企業を守るのかをわかりやすく解説します。
ASMとは?──攻撃者の視点で企業を監視する仕組み
ASMのもっとも特徴的な点は、「攻撃者が見る企業の姿」を可視化する ところにあります。
従来のセキュリティ対策は、社内からの視点で「設定が安全か」を確認するものでした。一方、ASMは外部から企業をスキャンし、公開されている資産や潜むリスクを発見します。
■ ASMが検知する主な対象
- ドメイン/サブドメイン
- クラウドサービス(SaaS / IaaS)
- Webアプリケーション・API
- ネットワーク機器(VPN、リモートアクセス装置)
- 開発環境や検証環境の残骸
- 意図せず公開されているストレージ(Amazon S3等)
企業が「公開しているつもりのない資産」まで自動的に検出するため、攻撃者が狙う入口を早期に把握できます。
【実例】放置されていた旧サーバーをASMが発見
ある製造業の企業では、クラウド移行後に不要となった旧サーバーが、誰にも気づかれないままネット上に残っていました。
このサーバーは、外部からSSHアクセスが可能な危険な状態。
ASMによる外部診断により速やかに発見され、直ちに遮断されました。
後に監査ログを確認したところ、実際に外部からスキャンの試みがあり、攻撃の足音はすぐ近くまで迫っていたことが判明しました。
もしASMを導入していなければ、攻撃者に侵入されていた可能性は極めて高い状況でした。
SSH(Secure Shell)アクセスは、離れた場所からサーバーや機器に安全にログインして操作するための仕組み(通信プロトコル)です。SSH自体は安全な仕組みですが、外部(インターネット)から接続できる状態だと攻撃者の標的になります。
理由としては、ブルートフォース攻撃(総当たり攻撃)の対象になったり、すでに保守されていない古いサーバーなどは脆弱性を突かれたり、今回のように使用していないのに放置されていると、誰も気づかないまま攻撃されることが発生するからです。
これは決して特殊な例ではなく、クラウド移行・SaaS利用が増えた現在の企業では“よくあるリスク”です。
ASMは何を「可視化」するのか?
ASMによって可視化されるのは、次の3つのカテゴリーです。
①外部公開されているIT資産の棚卸し
- 公開中のサーバー、サブドメイン、サービスの一覧
- 企業自身が把握していない「影の資産」の発見
②外部から確認できる脆弱性やリスク
- 古いソフトウェアバージョン
- 不要ポートの開放
- 誤ったDNS設定
- SaaS設定の不備(共有リンクの公開など)
③攻撃者が利用可能な情報の特定
- GitHub※1など外部サービスの露出情報
- 情報漏えいサイトに掲載された古い認証情報
- OSINT※2による公開情報の調査結果
これらを継続的にモニタリングし、問題が発見されれば即通知するのがASMの強みです。
※1:GitHub(ギットハブ);ソフトウェア開発者がプログラムのコードを管理・共有するためのオンラインサービス。世界最大の開発プラットフォームで、Microsoftの傘下。
※2:OSINT(オシント);Open Source Intelligence(オープンソース・インテリジェンス) の略で、誰でもアクセスできる公開情報を集めて分析する手法。公開情報には、以下のようなものが含まれる。
- 検索エンジンで見つかる一般公開ページ
- ドメイン情報(Whois)
- GitHubやGitLabなど、コードが公開されるサービス
- SNS(X、Facebook、Instagram、LinkedIn)
- 公開されているドキュメント・資料
- ”インターネットに接続された機器”の検索エンジン(Shodanなど)
LYSTが推奨する「ASM × WAF × 保険」の三層防御
LYSTでは、ASMを単体のツールとして扱うのではなく、企業のリスクマネジメント全体に組み込む“防御の層(レイヤー)”として活用します。
1層目:ASM(見つける)
外部アタックサーフェスを自動で棚卸しし、攻撃者が狙う入口を先に発見。
2層目:WAF(止める)
前回のコラムで解説したWAFが、Webアプリへの攻撃をリアルタイムでブロック。
3層目:サイバー保険(守る)
攻撃を受けた際の損害賠償金、データ復旧、フォレンジック調査費用などを補償。
これにより、
「気づかないリスク」→「管理できるリスク」へ変える ことが可能になります。
ASMが入口を洗い出し、WAFが攻撃を防ぎ、保険が事業継続を支える。
LYSTは、この三層構造こそが中小企業に最適なサイバーセキュリティ対策であると考えています。
ASMは「導入して終わり」ではない
ASMの価値は、“継続的な監視”にあります。
IT環境は常に変化するため、月に一度の脆弱性診断では追いつきません。
- 新しいSaaSを導入した
- 委託企業が変わった
- 新部署がクラウドを使い始めた
- 古いサーバーが残ったままだった
こうした変化を即時に捉えるために、ASMが必要です。
企業が自ら管理しきれない部分を自動化し、「常に攻撃者より先に気づく」体制を整えることができます。
まとめ──“見えない攻撃面”を可視化することが最大の防御
ASMは、難しい技術ではありません。
本質はとてもシンプルで、
「攻撃者が見ている企業の姿」を先に把握する
ということです。
外部公開資産の棚卸しは、どの企業にも存在する“見えないリスク”。
これを可視化するASMは、中小企業にとっても非常に効果的な防御手段になります。
LYSTは、ASMを入口として、WAF・保険と組み合わせた多層防御モデルを提供し、
サイバー攻撃を「偶然の事故」ではなく「管理可能なリスク」へ変える企業づくりをサポートします。
★LYSTの『サイバーセキュリティ支援』にお気軽にご相談ください★
