セキュリティ研修や社内会議で「アタックサーフェス」「ASM」という言葉を耳にしたものの、何を指すのか線引きが曖昧なまま、という方も多いのではないでしょうか。記事ごとに範囲の説明が微妙に違い、IT資産まで含むのか、物理的なものまで含むのか、迷いやすいテーマです。
結論を先に示すと、アタックサーフェスとはサイバー攻撃の対象になりうるIT資産や攻撃経路の総称で、それを継続的に把握・管理する取り組みがアタックサーフェス管理(ASM)です。本記事では、定義と該当範囲、デジタルとフィジカルの種類、攻撃ベクトルとの違い、拡大の背景、ASMの中身とプロセス、そして脆弱性診断との違いまでを順に整理します。「自社が次に何をすべきか」を判断する材料が揃うはずです。
アタックサーフェスとは?
アタックサーフェス(Attack Surface)は、日本語で「攻撃対象領域」とも呼ばれ、攻撃者の侵入口や攻撃経路になりうるIT資産の全体を指します。ややこしいのは、どこまでを含めるかが組織や機関によって異なる点です。ここでは、アタックサーフェスに含まれるIT資産・経路、その種類(デジタル・フィジカル)、そして混同されやすい「攻撃ベクトル」との違いを順に押さえていきます。
アタックサーフェスに含まれるIT資産・経路
具体的には、外部公開しているWebサーバーやネットワーク機器、VPN機器、クラウドサービス、アクセス制御の甘い公開API、従業員が使うPC・スマートフォン、IoT機器などが該当します。ここでポイントになるのは、攻撃の「入り口」だけがアタックサーフェスではない、という点です。侵入後に踏み台となる端末や、重要情報が保管されているサーバーも攻撃対象領域に含まれます。
なお、どこまでを範囲に含めるかは、実は一通りに決まっているわけではありません。経済産業省のガイダンスのように、外部(インターネット)からアクセス可能なIT資産に対象を絞る考え方もあれば、物理的な資産まで広く含める整理もあります。自社で議論する際は、まずどの範囲を指しているのかを揃えておくと、認識のズレが減ります。
アタックサーフェスの種類
アタックサーフェスは、大きく「デジタル」と「フィジカル」の2種類に分けて整理されることが一般的です。それぞれ狙われ方が異なるため、対策の考え方も変わってきます。
アタックサーフェスの種類と特徴
| 種類 | 主な対象 | 狙われ方 |
|---|---|---|
| デジタルアタックサーフェス | Webサーバー、クラウドサービス、VPN機器、ソフトウェア、公開API | インターネット経由でスキャンされ、侵入口として狙われやすい |
| フィジカルアタックサーフェス | オフィスやデータセンター、サーバー、PC・スマートフォン、USBメモリ | 持ち出し・紛失や、その場にいることで成立する物理的な攻撃を受ける |
リモートワークで社外に持ち出される端末が増えた今、フィジカル面の管理も軽視できません。とはいえ、ネットワーク経由の攻撃は高度化・巧妙化が指摘されており、デジタルアタックサーフェスへの対策がいっそう問われています。
攻撃ベクトルとの違い
アタックサーフェスとよく混同されるのが「攻撃ベクトル(Attack Vector)」です。この2つは深くつながっていますが、実は指しているものが別です。攻撃ベクトルは、攻撃者が侵入や攻撃のために使う具体的な手法を指します。
アタックサーフェスと攻撃ベクトルの違い
| 用語 | 表すもの | 例 |
|---|---|---|
| アタックサーフェス | どこが攻撃されうるか(攻撃対象の範囲) | VPN機器、公開API、Webサーバー |
| 攻撃ベクトル | どのように攻撃されるか(攻撃の手段) | フィッシング、マルウェア、ゼロデイ攻撃、ブルートフォース攻撃 |
つまり「攻撃対象領域のどこに、どの手段で攻撃が来るか」をセットで捉えると、優先的に守るべきポイントが見えやすくなります。アタックサーフェスを把握するのは、まさにこの「守るべき場所を見極める」ためです。
※参考:経済産業省|ASM(Attack Surface Management)導入ガイダンス
なぜ今アタックサーフェスの管理が重要なのか
ここ数年で、企業が守るべきアタックサーフェスは広がっています。
クラウドサービスの利用拡大、リモートワークの常態化、IoT機器の導入が進み、外部からアクセスできる資産が増えました。さらに国内外のグループ会社や取引先・委託先を経由した攻撃も目立ち、サプライチェーン全体に攻撃対象領域が広がっています。こうした取引先まで含めたリスク評価の考え方については、「SCS評価制度とは?」もあわせてご覧ください。
問題は、こうして増えた資産の中に「管理されていない」「存在に気づいていない」ものが紛れ込むことです。情シス部門の管理外で導入されたクラウドサービス(シャドーIT)、期限切れのまま放置されたSSL証明書、アクセス制御の甘い公開APIなどが、その典型です。これらは攻撃者にとって格好の足がかりになります。
実際、警察庁の調査では、ランサムウェアの感染経路はVPN機器やリモートデスクトップといった外部公開資産経由が全体の8割以上を占めています。多くのインシデントは、把握できていない資産や弱い設定を起点に発生しているわけです。「知らないものは守れない」。だからこそ、自社の攻撃対象領域を正確に把握する取り組みが欠かせません。
※参考:警察庁|令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について
アタックサーフェス管理(ASM)とは?
攻撃対象領域を把握する必要性が見えてきたところで、その実践がアタックサーフェス管理(ASM)です。経済産業省はASMを、組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスと定義しています。
ここでは重視される理由と、具体的な進め方を見ていきます。
ASMが重視される理由
セキュリティインシデントは、管理者が把握していない機器や意図しない設定ミスを起点に起こることが少なくありません。ASMの特徴は、社内の管理台帳を起点にするのではなく、攻撃者と同じ外部からの視点で資産を洗い出す点にあります。
内部の棚卸しだけでは見えない「自社が外部からどう見えているか」を可視化できるのが、ASMが実践的だと言われる理由です。
ASMの進め方
ASMは一度実施して終わりではなく、継続的に回し続けるサイクルです。経済産業省のガイダンスでは、発見・情報収集・リスク評価を中心に整理されており、実務ではこれにリスク対応と継続監視を加えた流れで運用されます。
1. 攻撃面の発見
外部からアクセス可能なIPアドレスやホスト名(ドメイン)を自動で洗い出します。このとき、管理台帳に載っていない未把握の資産まで含めて一覧化できるかどうかが、最初の分かれ目になります。
2. 情報収集
発見した資産について、OSやソフトウェアのバージョン、開いているポートといった情報を集めます。あとのリスク評価で判断材料になるため、この段階でどこまで詳しく把握できるかが効いてきます。
3. リスク評価
集めた情報をもとに、脆弱性や設定ミス、不適切な公開状態がないかを分析します。見つかったリスクは深刻度で優先順位を付け、どこから手を打つべきかを整理します。
4. リスク対応
評価したリスクに対して、アクセス制限、構成変更、パッチ適用、不要な資産の削除といった形で対処します。すべてを一度に直すのは難しいため、優先順位の高いものから順に進めます。
5. 継続監視
対応して終わりではなく、状態の変化を監視し続けます。新たに公開された資産や、後から見つかったリスクを取りこぼさないことが、このサイクルを回す意味です。
攻撃対象領域は、新サービスのリリース、クラウド設定の変更、退職者アカウントの放置など、日々さまざまな要因で変化します。この一連のサイクルを繰り返すことで、常に最新の状態に保つことが目的です。
※参考:経済産業省|ASM(Attack Surface Management)導入ガイダンス
アタックサーフェス管理(ASM)と脆弱性診断の違い
「ASMがあれば脆弱性診断はいらないのでは?」と考える方もいるかもしれません。結論から言えば、両者は役割が異なり、置き換えるものではありません。経済産業省のガイダンスでも、ASMは脆弱性診断を代替するものではなく、併用が前提だと整理されています。
ASMと脆弱性診断の比較
| 観点 | アタックサーフェス管理(ASM) | 脆弱性診断 |
|---|---|---|
| 主な目的 | 外部公開資産を発見し、リスクを継続的に把握・管理する | 対象システムの脆弱性を詳細に検査し、具体的な欠陥を洗い出す |
| 対象範囲 | 未把握の資産も含む、外部からアクセス可能なIT資産全体 | あらかじめ特定した対象(Webアプリ、サーバーなど) |
| 視点 | 外部から広く見渡す | 対象を深く掘り下げて検査する |
| 頻度・性質 | 継続的なモニタリングが前提 | 必要なタイミングで実施する精密検査 |
整理すると、ASMで「どこに攻撃対象があるか」を広く把握し、重要な資産については脆弱性診断で深く検査します。この組み合わせが現実的です。まず自社の攻撃面を可視化し、優先度の高い資産から診断につなげる流れを描くと、何から着手すべきかが見えてきます。
より具体的な違いはこちらの記事でも解説しているのであわせてご覧ください。
※参考:経済産業省|ASM(Attack Surface Management)導入ガイダンス
アタックサーフェス管理(ASM)の課題
ASMの考え方は明快ですが、いざ進めようとすると壁にぶつかりやすいのも事実です。多くの企業がつまずくのは、資産の把握とアラート対応という2つの場面です。
- 全IT資産の把握が難しい
- 検知アラートに対応できる人材が不足しがち
それぞれの実態と、現実的な向き合い方を見ていきます。
全IT資産の把握が難しい
ASMを効果的に進めるには、自社のIT資産を漏れなく把握する必要がありますが、これが容易ではありません。とくに壁になるのが、組織の境界をまたぐ資産の管理です。子会社や海外拠点が独自に運用している機器は、本社のIT部門から見えにくく、棚卸しの対象から漏れやすい傾向があります。
実際、海外支社の機器を管理できていなかったために、そこを起点に国内本社が被害を受けた事例も報告されています。自動でネットワークをスキャンするツールの活用に加え、グループ全体でIT資産管理の重要性を共有する取り組みも欠かせません。
※参考:警察庁|令和7年上半期におけるサイバー空間をめぐる脅威の情勢等について
検知アラートに対応できる人材が不足しがち
ASMを導入すると、さまざまなリスクやアラートが検知されます。ところが、それらを評価し優先順位を付けて対応できる人材が足りない、という声は少なくありません。アラートの選別が負担になり、重要なリスクへの対応が後手に回れば、攻撃者に時間の猶予を与えてしまいます。対応できる体制づくりには、社内人材の育成に加え、ASMの運用や脆弱性診断・対応の専門家との連携も現実的な選択肢です。ユービーセキュアでは、ASMサービスと専門家による診断・対応支援を組み合わせ、自社の体制レベルに応じた支援プランをご提案しています。
まとめ
この記事では、アタックサーフェスの定義と該当範囲から、デジタルとフィジカルの種類、攻撃ベクトルとの違い、拡大の背景、そしてアタックサーフェス管理(ASM)の中身と脆弱性診断との関係までを整理しました。攻撃対象領域は把握できていない部分にこそリスクが潜み、その盲点をなくす実践がASMである、という点が中心です。
進め方として現実的なのは、まず自社の攻撃面を可視化し、重要な資産を脆弱性診断で深掘りするという順序です。ASMと脆弱性診断は役割が違い、どちらかで足りるものではありません。両者を組み合わせてこそ、リスクの取りこぼしを減らせます。
攻撃対象領域は今後も広がり続けます。「自社は大丈夫」と思い込む前に、まずどこが攻撃にさらされているのかを把握するところから始めてみてはいかがでしょうか。
