ASM(アタックサーフェスマネジメント)、脆弱性診断、ペネトレーションテスト――この3つの違いがわかりにくく「自社にはどれが必要なのか」と判断に迷うケースは少なくありません。
3つの手法は目的と対象範囲が異なり、組み合わせて使うことでセキュリティ対策の網羅性が高まります。今回は、ASM・EASMの定義整理から3手法の比較、状況別の優先順位までを整理し解説していきます。
ASMは、インターネットから到達可能なIT資産を継続的に発見・評価・管理する仕組みです。一度実施して終わりではなく、資産の「発見」から「評価」「対処」までをサイクルとして回す継続的な運用プロセスを指します。
ASMは「Attack Surface Management」の略です。 Attack Surface(攻撃対象領域)とは、外部の攻撃者がネットワークに侵入するために悪用しうる接点の総体を指します。具体的には、以下のような資産が対象です。
ASMとEASM(External ASM)は、ほぼ同義と捉えて問題ありません。経済産業省の「ASM導入ガイダンス(2023年)」でも、両者を同じ意味として扱うと明記されています。
違いがあるとすれば対象範囲の広さです。
EASMは「外部に公開している資産だけ」を対象とする一方、ASMは社内ネットワーク内の資産まで含めた広い意味を持ちます。ただし市場で売られている製品の大半は外部資産を扱うEASMタイプなので、「ASM」と書かれていても外部資産の話だと思って差し支えないケースがほとんどです。共通しているのは「攻撃者からどう見えているか」という外部視点に基づいている点です。
クラウド利用の拡大やリモートワークの普及により、企業の攻撃対象領域は急速に広がっています。特にシャドーIT(部門が独自に契約したSaaSや放置されたテストサーバーなど)が攻撃者の侵入口になるリスクは見過ごせません。ランサムウェアの侵入経路としてVPN機器など外部公開資産が狙われるケースも多く報告されており、2023年の経産省ガイダンス公表は、こうした状況への行政の後押しといえます。
これまではExcel等による台帳管理が主流でしたが、日々変化するクラウド環境や拠点の増加により、情シスが把握していない管理外の資産が増大しました。「把握していないもの(未知の資産)は守れない」という課題を解決するためにASMが注目されています。
ASMと脆弱性診断は補完関係にあり、どちらか一方だけではカバーしきれない領域があります。
| 比較軸 | ASM | 脆弱性診断 |
|---|---|---|
| 主な目的 | 未知資産を含む攻撃面の継続的な可視化 | 既知システムの脆弱性の網羅的な検出・評価 |
| 対象資産 | 外部公開資産(既知・未知含む) | 指定した既知の資産(内部含む) |
| 診断の深さ | 広く・浅く | 狭く・深く |
| 実施頻度 | 継続的・常時監視 | 定期的(年1回〜数回) |
| 主な実施方法 | 自動ツール | 自動スキャン+専門家の手動診断 |
| 検出しにくいもの | 内部資産の詳細な脆弱性 | シャドーITなど未把握の資産 |
ASMだけでは個々の脆弱性の深刻度や技術的詳細まではわかりません。一方、脆弱性診断だけでは診断対象に指定されていない資産がスコープ外になります。シャドーITが診断の網からこぼれ落ちることも珍しくなく、この「どちらにも死角がある」構造こそ、併用すべき理由です。
特に、脆弱性診断の直後に新しく公開されたテストサーバーや、設定変更されたVPN機器は、次回の診断まで無防備な空白期間となります。この空白をASMがリアルタイムに埋めることで、防御の隙をなくすことができます。
どちらを先にやるべきか迷ったら、まずASMで外部公開資産を洗い出し、優先度の高いものに脆弱性診断を実施する流れが効率的です。これにより、限られた予算と人員を重点配分できます。すでに主要システムの脆弱性診断を定期的に実施している組織であれば、ASMを追加導入して資産の見落としを防ぐ方向が有効です。
ペネトレーションテストは3つの手法のなかで最も「深い」検証を担い、ASMや脆弱性診断とは明確に役割が分かれています。
脆弱性を見つけることが目的のASMや診断に対し、ペンテストは特定の重要なデータに辿り着けるかといった目的への到達可否を検証します。
ペネトレーションテストは、発見された脆弱性が実際に悪用可能かどうかを疑似攻撃で検証する手法です。脆弱性の「存在確認」ではなく「悪用可能性の実証」が目的であり、ASMや脆弱性診断で対象を絞り込んだあとに実施するのが原則です。
脆弱性診断が主に自動ツールで既知の弱点を探すのに対し、ペネトレーションテストはホワイトハッカーなどの専門家が、複数の脆弱性を組み合わせたり、設定の不備を突いたりして、人間の知略で侵入を試みる点に違いがあります。
ペネトレーションテストとは?脆弱性診断との違い・必要性・やり方を解説|みんなのセキュリティ
3つの手法は独立したツールではなく、段階的に深掘りしていくプロセスとして捉えるとわかりやすくなります。
| 段階 | 手法 | 担う役割 |
|---|---|---|
| 第1段階 | ASM | 何が公開されているかを発見する |
| 第2段階 | 脆弱性診断 | どこが弱いかを検出する |
| 第3段階 | ペネトレーションテスト | 実際に攻撃できるかを検証する |
「発見→検出→検証」と粒度が細かくなる流れであり、どれか1つだけで完結しようとすると、カバーできない領域が残りやすくなります。
金融機関や重要インフラ事業者など規制対応が求められる業種では、ペネトレーションテストの優先度が高くなります。M&Aや新システムリリース前のセキュリティ確認にも用いられます。それ以外の組織では、ASMや脆弱性診断で高リスクと判定された資産への追加調査として検討するのが現実的です。
また、万が一侵入された際に「社内の検知システムが正しく作動するか」を確認する、組織のインシデント対応能力(SOCやCSIRT)のテストとして活用されるケースも増えています。
3つの手法の違いがわかっても、「自社はどこから始めるべきか」が決まらなければ意味がありません。組織のセキュリティ成熟度から優先順位を判断できます。
下表は、組織のセキュリティ成熟度別に優先すべき手法をまとめたものです。上から下に向かって成熟度が高くなる構成のため、自社の現状に近い行から取り組み始めるとスムーズです。
| 組織の状態 | 優先すべき手法 | 理由 | 運用負荷のイメージ |
|---|---|---|---|
| 外部公開資産の全体像が把握できていない・シャドーITが多い | ASM | 守るべき対象が見えていない段階では、診断の優先順位も決められません。まず攻撃面の可視化が起点になります | ツールによる自動化(常時稼働) |
| 資産は把握済みだが脆弱性診断が未実施・不定期 | 脆弱性診断 | 資産が見えているなら、次はその弱点を洗い出す段階です。年1〜2回の定期診断を仕組みとして定着させることが重要です | 定期的・スポット実施(年1〜数回) |
| 診断を定期実施しており、重要インフラや規制対応が求められる | ペネトレーションテスト | 高リスクと判定された資産について、実際に悪用可能かを検証することでリスク評価の精度が上がります | 高度な専門家による検証(プロジェクト単位) |
| 三段階をすでに実施している | 継続運用の自動化・PDCA化 | 各施策を単発で終わらせず、検出→対応→再評価のサイクルを回し続けることが防御力の維持につながります | 運用設計・体制構築(継続) |
すべてを同時に導入する必要はありません。自社の現状に近い行を確認し、まず1段階目から着手するのが現実的です。
経済産業省の「ASM導入ガイダンス(2023年)」では、ASMは脆弱性診断の代替ではなく前段階として位置づけられています。ASMで外部公開資産を洗い出し、そのうえで脆弱性診断を実施する「併用」が推奨されています。
想定読者として中堅〜大企業の情報システム部門が念頭に置かれていますが、攻撃面の把握が不十分な組織であれば規模を問わず参考になる内容です。社内でASM導入を検討する際、上司や経営層への説明根拠としても使いやすい資料といえます。
ASM・脆弱性診断・ペネトレーションテストは「代替関係」ではなく「補完関係」にあります。ASMで攻撃面を発見し、脆弱性診断で弱点を検出し、必要に応じてペネトレーションテストで悪用可能性を検証する段階的アプローチが、セキュリティ対策の基本の型です。 ASMとEASMはほぼ同義として扱われている点も押さえておきましょう。
まずは自社が「どの成熟度段階にいるか」を確認するところから始めてみてください。ユービーセキュアでは専門家による無料相談を行っています。現状の整理や、次に取るべきアクションを明確にしたい方はお気軽にお問い合わせください。