侵入前提の前提の話～アタックサーフェスマネジメントが今なぜ求められるのか～（前編）

2026年3月31日更新
2024年3月28日掲載

本記事はSBテクノロジー株式会社（SBT）が執筆・公開した記事を、ソフトバンク株式会社との合併（2026年4月1日付）に伴い転載したものです。文中の「当社」「SBテクノロジー」などの記載ならびにサービス名称などの内容は、初出掲載時点の情報が含まれます。

元記事リンク：  https://www.softbanktech.co.jp/special/blog/cve/2024/0006

ソフトバンクのプリンシパルセキュリティリサーチャー辻です。僕は、これまでセキュリティの診断・侵入テストなどに10年以上携わり、その後、国内外のセキュリティに関わるさまざまな事件・事故に関する調査を行ってきました。最近の活動は、さまざまなベンダーが出しているレポートを見て情勢を分析したものを分かりやすく文章や図に起こし、講演やX（旧Twitter）などで発表・発信するほか、公的機関においての今後のセキュリティに関する取り組みなどのアドバイスを、経済産業省、総務省、警視庁に対しても行っています。
また、ランサム攻撃についてもよく調べています。その攻撃手法は主にネットワーク侵入型ですが、どういう手順で侵入されるのかを、悪用される脆弱性も含めて調べることが多くなっています。

そんな僕の日々の活動をもとに、本ブログでは、サイバー攻撃の対象となりうる組織の攻撃対象領域（アタックサーフェス）を把握した上で、セキュリティを強化する「アタックサーフェスマネジメント（以下、ASM）」の重要性ついてご紹介したいと思います。
ブログは前編・後編の二部構成です。ぜひ、どちらもご覧ください。

ランサム攻撃の仕組みと現状

まず、最近のサイバー攻撃についてですが、僕が知る限り、全体的な攻撃の手法や傾向は過去から見てもそこまで大きく変わったという印象はありません。ただし、サイバー攻撃は分業化が進んできています。ランサム攻撃を例に、攻撃に至るまでの仕組みと現状について整理してみましょう。

まず、RaaS（Ransomware as a Service）というランサムウェアをサービスとして提供するビジネスモデルが存在します。ランサムウェアの開発や保守、被害者と身代金の交渉をするためのポータルの提供など、サービサーの役割を担う「RaaSオペレーター（胴元）」がいて、「アフェリエイト（実行犯）」にランサム攻撃を行うプラットフォームを提供しているという構図です。このような仕組みもあり、アフェリエイトの数は年々増加しています。侵入後、侵害範囲拡大や情報窃取、ランサムウェア感染などを行うにはアフェリエイトにとって比較的高いスキルが必要となります。

一方、その前段階となる、攻撃対象の侵入口を探すことは、高いスキルを持つ攻撃者にとって面倒で非効率なため、代わりにその役割を担う「イニシャルアクセスブローカー（侵入口の売人）」も出てきました。侵入口を探すことは比較的低いスキルで可能なため、イニシャルアクセスブローカーへの参入障壁は低く、その結果、攻撃者の増加を招いている現状があります。

また、セキュリティパッチが出てから脆弱性が悪用されるまでの日数は、年々短くなってきています。ただ、期間は短くなっているものの、ゼロデイ攻撃を除けば、まだ対応できる期間的余地はありますし、ゼロデイ攻撃に対してもベンダーによるセキュリティパッチの修正時間は縮まってきているため、優先順位を付けた適切な範囲への効率的なASMが、自組織を守る大事なポイントになってきます。

アタックサーフェスの日本と米国における定義の違い

では、ASMとは何か。今回は日本と米国で比較していきます。
まず日本では、経済産業省が掲げる『ASM（Attack Surface Management）導入ガイダンス～外部から把握できる情報を用いて自組織のIT資産を発見し管理する～』の中で、「組織の外部（インターネット）からアクセス可能なIT資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と掲げられています。つまり、さまざまな対策が必要な中で、まず一番にやるべきものとして、インターネットからアクセスできるIT資産の管理をしましょう、となっています。

一方、米国では、米国立標準技術研究所（NIST）が『NIST SP800-53』（「米国連邦情報システムのセキュリティおよびプライバシー管理の管理策」）というガイドラインを出しています。これは米国の政府機関がセキュリティ対策を実施する際に利用することを前提としてまとめられたものです。このガイドラインの中でASMは、システムやソフトウェア、環境の境界線上で攻撃者がそれらに対して侵入したり影響を与えたり、データを取り出したりすることができることと定義付けています。「環境の境界線上」という部分の解釈は、例えば、LANとLANの境界もあれば、本店と支店とのリアルな境界もあり、つまりインターネットに限定している日本に対し、米国はインターネットに限定していない、という部分で定義の違いがいあります。

アタックサーフェスマネジメントとして改めて定義された理由

ASMを紐解いていくと、実は基本的に「資産管理」「脆弱性管理」の2つのことを言っていることが分かります。ASM＝「資産管理」と「脆弱性管理」、と言い換えればシンプルに分かりやすいかもしれません。僕自身、少なくとも2016年から「資産管理」と「脆弱性管理」について訴えているので、新しくは感じません。皆さんもすでに知っているし、実施していると思われるでしょう。
しかし、その2つのサイクルを回してマネジメントをするということを、ASMという言葉として、今改めて定義付けたのです。

米国のサイバーセキュリティ・インフラセキュリティ庁であるCISA（Cybersecurity & Infrastructure Security Agency）が2022～2023年にかけて出した「BOD（Binding Operational Directive＝拘束力のある運用指令）」、つまり連邦情報および情報システムを保護することを目的とした強制的な指示、というものがあります。その中で、2022年10月公開の「23-01」では、簡単に言うと、7日間ごとにきちんと資産を可視化し、加えて14日間ごとに脆弱性有無の確認をするよう指示されています。また、2023年6月に公開された「23-02」では、WebやSSHなどの管理インターフェースへのアクセス制御をきちんと行うよう指示されています。

では、なぜ今改めてASMの必要性を説く文書がリリースされてきているのでしょうか。それは、当たり前のこととして認識はされているものの、結局のところASMをちゃんとできていない組織が多く、そのことが原因で被害が後を絶たないからです。日本においても同様です。組織でもASMの重要性をより理解し、認識する必要があります。重要性を認識することで初めて「課題」として感じるのですが、そもそもまだ「課題」としては捉えられていないと考えているので、ASMという名前を付けて、浸透させたいのではないでしょうか。

後編では、ASMの押さえるべき大事なポイントやインシデントの事例などをご紹介します。

AIによる記事まとめ

サイバー攻撃の分業化やRaaSの普及により、攻撃のハードルが下がり被害が増加しています。こうした中、組織の防御壁となる「アタックサーフェスマネジメント（ASM）」が注目されています。ASMは、インターネットに公開された資産を管理する日本の定義と、境界全般を対象とする米国の定義で範囲が異なりますが、本質は「資産管理」と「脆弱性管理」の徹底です。当たり前の対策が不十分な現状を打破するため、今改めてその必要性を解説しています。

※上記まとめは生成AIで作成したものです。誤りや不正確さが含まれる可能性があります。