狙われる「アタックサーフェス」の“あの弱点”に要注意これで分かる「ASM」(攻撃対象領域管理)【前編】

「攻撃対象領域」(アタックサーフェス)のセキュリティを管理する手法として「ASM」がある。なぜASMが必要なのか。“穴”になりがちなアタックサーフェスと併せて解説する。

2024年05月09日 08時00分 公開
[Jon OltsikTechTarget]

関連キーワード

サイバー攻撃 | セキュリティ | セキュリティ対策


 組織に対する攻撃の侵入口や経路となり得る領域を「攻撃対象領域」(アタックサーフェス)と呼ぶ。それを把握し、攻撃を防ぐ手法として「ASM」(Attack Surface Management:攻撃対象領域管理)がある。アタックサーフェスを把握する重要性はなぜ高まっているのか。特に“弱点”になりがちなアタックサーフェスと併せて解説する。

盲点になりやすい「あのアタックサーフェス」

会員登録(無料)が必要です

 近年、さまざまなIT製品やサービスが登場し、組織のシステムはますます複雑化している。例えば「IoT」(モノのインターネット)やクラウドサービスを取り入れれば、新たにアタックサーフェスが増えたり、アタックサーフェスが変わったりする。米TechTargetの調査部隊Enterprise Strategy Group(ESG)によれば、「過去2年間でアタックサーフェスが増加している」と捉えている企業が多数派だ。

 他にも、開発者や運用担当者、セキュリティ担当者、従業員などによるシステム設定の変更がアタックサーフェスの変化を引き起こす。ESGによると、組織が攻撃を受ける原因の一つが、攻撃対象領域を十分に把握できていないことだ。特に盲点になりやすいアタックサーフェスは以下の通りだ。

  • サポート期限が切れているOSやアプリケーションが稼働しているシステム
  • アクセス権限が誤って設定されているシステム
  • 管理者の知らない場所に保存された重要データ
  • アクセスが制限されていないサーバやAPI(アプリケーションプログラミングインタフェース)
  • 公開されているソースコードの一部
  • 十分に管理されていない、外部と接続するシステム

 こうして攻撃の入り口になり得るアタックサーフェスが多様になる中で、ASMが重要になっているのだ。以下も、ASMの必要性が高まる一因として挙げられる。

  • 新しいセキュリティ規制によるリスク管理強化の必要性
    • 米国証券取引委員会(SEC)の新規則や、欧州連合(EU)の「NIS」(Network and Information Security)指令の改訂案「NIS2」などが含まれる。
  • サイバー保険に加入する際、ASMへの取り組みが条件として求められること
    • これを満たさない組織は、保険の適用を受けられなかったり、保険金を請求できなかったりする可能性がある。
  • 従来の認証方法で不正アクセスを防ぎ切れないこと
    • 顔や指紋による生体認証の仕組みは導入せずにパスワードや多要素認証(MFA)を使う組織は、認証情報の流出によって不正アクセスを受けるリスクが高まっている。

 後編は、ASMとして取り組むべき具体的な対策を紹介する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ セキュリティ

新着ホワイトペーパー

製品資料 フォーティネットジャパン合同会社

クラウドに必要な「データドリブンなセキュリティ」を実現する方法とは?

クラウド利用が当たり前となった今日、セキュリティ対策もまたクラウド環境に適したものでなくてはならない。とはいえ、大量のデータポイントが生成されるクラウド領域にあって、その全てのポイントを網羅するのは並大抵のことではない。

製品資料 TIS株式会社

Web攻撃総数の2割以上が狙うAPI、適切な管理とセキュリティ対策を行うには?

ビジネスでのAPI利用が進むにつれ、そのAPIを標的としたサイバー攻撃も増加している。それらに対抗するためには、「シャドーAPI」や「ゾンビAPI」を洗い出し、セキュリティ対策を徹底する必要がある。その正しい進め方を解説する。

製品資料 Okta Japan株式会社

アイデンティティー管理/保護の注目手法、「IGA」とは何か?

ある調査で企業の61%がセキュリティ優先事項のトップ3に挙げるほど、重要度が高まっているアイデンティティー管理・保護。その中で昨今注目されているのが「IGA」というアプローチだ。そのメリットや、導入方法を解説する。

製品資料 株式会社エーアイセキュリティラボ

AIで人材不足を解消、セキュリティ担当者のためのDXガイド

DX推進によってさまざまなビジネスシーンでデジタル化が加速しているが、そこで悩みの種となるのがセキュリティの担保だ。リソースやコストの制限も考慮しながら、DXとセキュリティを両輪で進めるには何が必要になるのか。

製品資料 パロアルトネットワークス株式会社

セキュリティ運用を最適化し、SOCの負担を軽減する「SOAR」とは?

サイバー攻撃が巧妙化し、セキュリティチームとSOCは常に厳戒態勢を取り続けている。さらにデジタルフットプリントの拡大に伴い、セキュリティデータが絶え間なく往来する事態が生じている。このような状況に対応するには、SOARが有効だ。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

アクセスランキング

2025/04/24 UPDATE

  1. ランサムウェア集団Black Bastaの会話が流出 明らかになった攻撃者の“本音”
  2. 「App Store」や「Google Play」で“危険なアプリ”を見極める方法
  3. 日本でも対策が遅れる「あの侵入経路」が急増――攻撃グループの活動実態
  4. データが漏えいしたら、企業はどれだけ損をする? IBM調査で判明
  5. 「AI PC」が重いエンドポイントセキュリティを軽くする? ESETの挑戦
  6. あの決済方法は「クレカ情報流出」が起きやすい? 安全な方法は
  7. 「身代金を支払う」以外のランサムウェア対策は本当にあるのか?
  8. ランサムウェアの半数以上が“あの侵入経路”を悪用――見過ごされたリスクとは?
  9. 無料で「セキュリティのプロ」を目指せる“オンライン学習コース”5選
  10. 攻撃者の“闇市場”「ダークWeb」へようこそ その利用方法を解説

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news046.png

「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news026.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

news130.jpg

Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方