LYST's コラム|株式会社LYST

【LYST】ASM(Attack Surface Management)──見えない“攻撃面”を可視化せよ

作成者: 【LYST】株式会社LYST|2025.12.03

 いま、企業のサイバー攻撃が「外部資産」から始まっている

 

近年のサイバー攻撃の多くは、企業の外に露出したIT資産(外部アタックサーフェス)を突破口として発生しています。
クラウド化、リモートワーク、SaaS利用、委託業者の増加…。便利さの裏で、企業の外部に晒される領域は加速度的に広がりました。


しかし、企業自身がその全てを把握しきれているとは限りません。

  • 過去に使っていたサーバーが放置されている
  • 役割を終えたVPN装置がネットに接続されたまま
  • 誰も把握していないサブドメインが残っている
  • 外部公開の設定が意図せず広がっているSaaS

攻撃者は、こうした「企業も気づいていない入口」から侵入を試みます。
この“見えない入口”を自動で洗い出し、監視し続ける仕組みが ASM(Attack Surface Management)=攻撃対象領域管理 です。


本コラムでは、初心者の方でも理解しやすいように、ASMがなぜ重要なのか、何ができるのか、どのように企業を守るのかをわかりやすく解説します。

 

 ASMとは?──攻撃者の視点で企業を監視する仕組み 

 

ASMのもっとも特徴的な点は、「攻撃者が見る企業の姿」を可視化する ところにあります。
従来のセキュリティ対策は、社内からの視点で「設定が安全か」を確認するものでした。一方、ASMは外部から企業をスキャンし、公開されている資産や潜むリスクを発見します。

 

■ ASMが検知する主な対象

  • ドメイン/サブドメイン
  • クラウドサービス(SaaS / IaaS
  • Webアプリケーション・API
  • ネットワーク機器(VPN、リモートアクセス装置)
  • 開発環境や検証環境の残骸
  • 意図せず公開されているストレージ(Amazon S3等)

企業が「公開しているつもりのない資産」まで自動的に検出するため、攻撃者が狙う入口を早期に把握できます。

 

 【実例】放置されていた旧サーバーをASMが発見 

 

ある製造業の企業では、クラウド移行後に不要となった旧サーバーが、誰にも気づかれないままネット上に残っていました。
このサーバーは、外部からSSHアクセスが可能な危険な状態。

ASMによる外部診断により速やかに発見され、直ちに遮断されました。

後に監査ログを確認したところ、実際に外部からスキャンの試みがあり、攻撃の足音はすぐ近くまで迫っていたことが判明しました。

もしASMを導入していなければ、攻撃者に侵入されていた可能性は極めて高い状況でした。

SSH(Secure Shell)アクセスは、離れた場所からサーバーや機器に安全にログインして操作するための仕組み(通信プロトコル)です。SSH自体は安全な仕組みですが、外部(インターネット)から接続できる状態だと攻撃者の標的になります。


理由としては、ブルートフォース攻撃(総当たり攻撃)の対象になったり、すでに保守されていない古いサーバーなどは脆弱性を突かれたり、今回のように使用していないのに放置されていると、誰も気づかないまま攻撃されることが発生するからです。


これは決して特殊な例ではなく、クラウド移行・SaaS利用が増えた現在の企業では“よくあるリスク”です。

 

 ASMは何を「可視化」するのか? 

 

ASMによって可視化されるのは、次の3つのカテゴリーです。

外部公開されているIT資産の棚卸し

  • 公開中のサーバー、サブドメイン、サービスの一覧
  • 企業自身が把握していない「影の資産」の発見

外部から確認できる脆弱性やリスク

  • 古いソフトウェアバージョン
  • 不要ポートの開放
  • 誤ったDNS設定
  • SaaS設定の不備(共有リンクの公開など)

攻撃者が利用可能な情報の特定

  • GitHub※1など外部サービスの露出情報
  • 情報漏えいサイトに掲載された古い認証情報
  • OSINT2による公開情報の調査結果 

これらを継続的にモニタリングし、問題が発見されれば即通知するのがASMの強みです。

※1:GitHub(ギットハブ);ソフトウェア開発者がプログラムのコードを管理・共有するためのオンラインサービス。世界最大の開発プラットフォームで、Microsoftの傘下。

※2:OSINT(オシント);Open Source Intelligence(オープンソース・インテリジェンス) の略で、誰でもアクセスできる公開情報を集めて分析する手法。公開情報には、以下のようなものが含まれる。

  • 検索エンジンで見つかる一般公開ページ
  • ドメイン情報(Whois)
  • GitHubやGitLabなど、コードが公開されるサービス
  • SNS(X、Facebook、Instagram、LinkedIn)
  • 公開されているドキュメント・資料
  • ”インターネットに接続された機器”の検索エンジン(Shodanなど)

 LYSTが推奨する「ASM × WAF × 保険」の三層防御 

 

LYSTでは、ASMを単体のツールとして扱うのではなく、企業のリスクマネジメント全体に組み込む“防御の層(レイヤー)”として活用します。

1層目:ASM(見つける)
外部アタックサーフェスを自動で棚卸しし、攻撃者が狙う入口を先に発見。

2層目:WAF(止める)
前回のコラムで解説したWAFが、Webアプリへの攻撃をリアルタイムでブロック。

3層目:サイバー保険(守る)
攻撃を受けた際の損害賠償金、データ復旧、フォレンジック調査費用などを補償。

 

これにより、
「気づかないリスク」→「管理できるリスク」へ変える ことが可能になります。


ASMが入口を洗い出し、WAFが攻撃を防ぎ、保険が事業継続を支える。
LYSTは、この三層構造こそが中小企業に最適なサイバーセキュリティ対策であると考えています。

 

 ASMは「導入して終わり」ではない 

 

ASMの価値は、“継続的な監視”にあります。
IT環境は常に変化するため、月に一度の脆弱性診断では追いつきません。

  • 新しいSaaSを導入した
  • 委託企業が変わった
  • 新部署がクラウドを使い始めた
  • 古いサーバーが残ったままだった

こうした変化を即時に捉えるために、ASMが必要です。
企業が自ら管理しきれない部分を自動化し、「常に攻撃者より先に気づく」体制を整えることができます。

 

 まとめ──“見えない攻撃面を可視化することが最大の防御 

 

ASMは、難しい技術ではありません。
本質はとてもシンプルで、
「攻撃者が見ている企業の姿」を先に把握する
ということです。

外部公開資産の棚卸しは、どの企業にも存在する“見えないリスク”。
これを可視化するASMは、中小企業にとっても非常に効果的な防御手段になります。


LYSTは、ASMを入口として、WAF・保険と組み合わせた多層防御モデルを提供し、
サイバー攻撃を「偶然の事故」ではなく「管理可能なリスク」へ変える企業づくりをサポートします。

 

★LYSTの『サイバーセキュリティ支援』にお気軽にご相談ください★

 

 

 
完全な記事を表示