みんなのセキュリティ

EASMとは?ASMとの違いから導入前に確認すべきポイントまで解説

作成者: 成田 大輝|Jul 8, 2026 3:39:06 AM

外部に公開しているIT資産が、知らないうちにサイバー攻撃の入り口になっていた。こうしたリスクへの備えとして、いま注目を集めているのがEASM(External Attack Surface Management)です。

EASMは、インターネット側から見える自社の資産を自動的に発見し、リスクを継続的に評価する手法です。IT部門が把握しきれていないサブドメインやクラウドサービスなど、管理台帳から漏れた資産まであぶり出せるのが、従来の脆弱性管理との大きな違いになります。

一方で、ASMやCAASMといった似た用語との関係がわかりにくく、導入検討がなかなか進まないという声も聞かれます。EASMの定義や対象範囲をまず押さえたうえで、ASMとの位置関係や導入前の判断軸まで把握しておくと、自社に必要な対策が見えてきます。

EASMとは

EASM(External Attack Surface Management)は、組織が外部に公開しているIT資産を対象に、リスクを継続的に把握・評価する手法です。「外部から見える資産」だけに焦点を当てている点が特徴になります。

  • EASMの定義と対象資産
  • EASMの3つのプロセス

それぞれ順に見ていきましょう。

EASMの定義と対象資産

EASMの「External」は、インターネット側から到達できる資産を指しています。経済産業省が2023年5月に公開した「ASM導入ガイダンス」では、ASMを「組織の外部(インターネット)からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」と定義しています。

具体的には、ドメインやサブドメイン、グローバルIPアドレス、SSL/TLS証明書、VPN機器、公開API、クラウド上の公開サービスなどが管理対象になります。いずれも「外部のネットワークからアクセスできる状態にある」という共通点があり、社内ネットワーク上の端末やデータベースは含まれません。

とくに見落とされやすいのが、IT部門の管理台帳に載っていない資産です。たとえば、テスト用に立てたまま放置されたサブドメインや、事業部が独自に契約したクラウドサービスなどが挙げられます。こうした「シャドーIT」を発見できるかどうかが、EASMの価値を左右します。

EASMの3つのプロセス

EASMの運用は、大きく3つのステップで進めていきます。

  • 外部公開資産の発見(Discovery)
  • リスク要因の評価(Assessment)
  • 優先度に応じた対処(Remediation)

発見(Discovery)

組織名やドメイン情報を起点に、DNS検索やWHOIS、ポートスキャンなどを使って、外部からアクセスできる資産を自動的に洗い出します。この段階で、IT部門が把握していなかったサブドメインや、古いバージョンのまま動いているサーバーが見つかることも珍しくありません。

評価(Assessment)

発見した資産に対して、既知の脆弱性がないか、SSL証明書が期限切れになっていないか、不要なポートが開いていないかといったリスク要因をチェックし、スコアリングします。

対処(Remediation)

評価結果をもとに、優先度の高いリスクからパッチ適用やサービス停止、設定変更といった対応を進めます。EASMツール自体が修正してくれるわけではなく、既存の脆弱性管理やインシデント対応のフローに「どの資産にどんなリスクがあるか」を渡す役割を果たします。

なお、経済産業省のASM導入ガイダンスでは「対処」をASMプロセスの範囲外としています。ただ、実務ではEASMツールの検出結果をきっかけに対処まで一気通貫で回していくのが一般的です。

※参考:経済産業省|ASM(Attack Surface Management)導入ガイダンス

EASMとASM・CAASMの違い

EASMについて調べていると、ASMやCAASMといった似た用語が出てきて混乱する方もいるのではないでしょうか。大まかに言うと、ASMが上位概念で、EASMとCAASMはその中にある異なるアプローチです。

  • ASMとEASMの関係
  • EASMとCAASMの違い

提案資料や社内説明で正確に使い分けられるよう、それぞれの関係を整理しておきましょう。

ASMとEASMの関係

ASM(Attack Surface Management)は、組織の攻撃対象領域を管理するという広い概念です。外部公開資産だけでなく、社内ネットワーク上の端末やクラウド環境の設定ミスなども含めた、あらゆる攻撃対象面を管理する取り組み全体を指しています。

EASMはそのうち「外部公開資産」に絞ったアプローチで、ASMの一部にあたります。ただし、国内ではこの区別があいまいなまま使われているケースが少なくありません。その理由のひとつが、経済産業省のASM導入ガイダンスです。同ガイダンスでは「ASM」と「EASM」を同じ意味として扱っており、定義自体が外部公開資産に限定されています。

つまり、国内のセキュリティ文脈で「ASM」と言った場合、実質的にはEASMを指していることが多いわけです。一方で、グローバルではASMの中にEASMとCAASMを明確に分ける整理が一般的です。海外ベンダーの資料を読んだり、グローバル拠点と議論したりする際には、この違いを意識しておくとよいでしょう。

EASMとCAASMの違い

CAASM(Cyber Asset Attack Surface Management)は、EASMとは対象もアプローチも異なります。両者の違いを表にまとめました。

EASMとCAASMの比較

比較軸 EASM CAASM
対象範囲 外部公開資産
(ドメイン、IP、VPN機器など)
内部資産を含む全IT資産
データソース 外部スキャン、OSINT
(公開情報収集)
CMDB、EDR、クラウド管理ツールなどの内部データを統合
主な用途 攻撃者視点で外部のリスクを発見する 組織内の資産台帳を統合・可視化する
調査の視点 外部(インターネット側)から内向き 内部から全体を俯瞰

わかりやすく言えば、EASMは「攻撃者の目線で外部から自社を見る」手法で、CAASMは「管理者の目線で内側から資産を棚卸しする」手法です。

どちらか一方を選ぶものではなく、外部リスクの把握にはEASM、内部資産の統合管理にはCAASMと、役割を分けて併用するのが理想的です。

EASMが求められる背景

では、なぜいまEASMが注目されているのでしょうか。背景には、企業のIT環境に起きている3つの変化があります。

  • 管理台帳に載っていない外部公開資産が増えている
  • 攻撃者が外部の偵察で侵入経路を探している
  • 従来の脆弱性管理だけでは追いつかなくなっている

いずれも「外部に何が公開されているか、自社で把握しきれていない」という共通の課題につながっています。

管理台帳に載っていない外部公開資産が増えている

クラウドサービスやSaaSの利用が広がり、M&Aでグループ会社が増え、テレワーク対応でVPN機器やリモートアクセス環境も増設されています。こうした変化にともなって、インターネットに面した資産の総量は年々増え続けています。

問題なのは、増えた資産のすべてをIT部門が把握できているとは限らない点です。事業部門が独自に契約したSaaS、開発チームが検証用に立ち上げたサーバー、買収先企業が運用していた旧ドメインなど、管理台帳から漏れた資産がそのまま攻撃の入り口になってしまうリスクがあります。

攻撃者が外部の偵察で侵入経路を探している

サイバー攻撃の多くは、外部から公開情報を集める「偵察」のフェーズから始まります。攻撃者はドメイン情報やDNSレコード、公開ポート、SSL証明書の情報などを手がかりに、侵入できそうな経路を探していきます。

EASMは、この攻撃者と同じ視点で自社の外部露出をチェックする手法です。内部のIT資産管理ツール(CMDBなど)だけでは、「外部からどう見えているか」まではわかりません。攻撃者が偵察で見つけられるものを、自社でも先に把握しておこうというのがEASMの基本的な考え方です。

従来の脆弱性管理だけでは追いつかなくなっている

多くの企業ではすでに脆弱性診断を実施していますが、従来の脆弱性診断は「管理台帳に載っている既知の資産」を対象に行うものです。診断の精度がどれだけ高くても、そもそも存在を把握していない資産には手が届きません。

EASMが担うのは、まさにこの「まだ把握できていない資産を発見する」という役割です。EASMで外部公開資産を洗い出してから、見つかった資産に脆弱性診断をかけて詳しくリスクを評価していきます。この組み合わせによって、「発見漏れ」と「診断漏れ」の両方を防ぐことができます

ただし、EASMがあれば脆弱性診断が不要になるわけではありません。EASMの評価はあくまで外部から得られる情報がベースなので、アプリケーション内部のロジックに起因する脆弱性までは見つけられないからです。

両者は代替ではなく、お互いを補う関係にあります。

EASMで実際に見つかるリスクの例

「EASMを使うと具体的に何がわかるのか」は、導入を検討するうえで気になるポイントではないでしょうか。EASMによって発見されることが多い典型的なリスクには、次のようなものがあります。

  • 放置されたサブドメインや検証環境
  • サポートが終了したVPN機器やネットワーク機器
  • M&A先や海外拠点の管理外ドメイン

放置されたサブドメインや検証環境

開発・検証用に立ち上げたサーバーやサブドメインが、プロジェクト終了後もそのまま残っているケースです。本番環境と違ってセキュリティパッチが当たっていなかったり、認証が甘い設定のまま放置されていたりすることがあり、攻撃者にとっては格好の入り口になります。IT部門の管理台帳には最初から載っていないことが多いため、EASMのスキャンで初めて存在が発覚することも珍しくありません。

サポートが終了したVPN機器やネットワーク機器

テレワーク対応で急いで導入したVPN機器が、いつの間にかサポート終了(EOL)を迎えているケースです。メーカーからセキュリティパッチが提供されなくなっているため、既知の脆弱性がそのまま残り続けます。EASMでは外部から到達可能な機器のバージョン情報を検出できるため、こうしたリスクの早期発見につながります。

M&A先や海外拠点の管理外ドメイン

買収した企業が使っていた旧ドメインや、海外拠点が独自に運用しているWebサイトが、本社のIT部門に共有されないまま残っているケースです。古いCMSがアップデートされずに動いていたり、管理者アカウントがデフォルトのまま放置されていたりといったリスクが見つかることがあります。

グループ全体のセキュリティを考えるうえで、こうした「見えていない資産」の発見はEASMならではの効果です。

EASM導入前に確認すべき3つのポイント

EASMの導入を検討するとき、いきなりツール選定に入るよりも、まず自社の現状を整理しておくとスムーズに進みます。とくに確認しておきたいのは次の3点です。

  • 外部公開資産をどこまで把握できているか
  • 既存のセキュリティ運用フローとどう接続するか
  • 対象スコープをどこまで広げるか

外部公開資産をどこまで把握できているか

自社が外部に公開しているIT資産を、現時点でどこまで把握できているでしょうか。

管理台帳の網羅性に不安がある場合は、EASMによる「発見」の優先度が高くなります。逆に、すでにある程度の棚卸しができているなら、EASMは差分の検出や継続的な監視に活用する形が向いています。

既存のセキュリティ運用フローとどう接続するか

EASMで発見・評価した結果を、既存の脆弱性管理やSOC、インシデント対応フローにどうつなげるかも大切です。せっかくリスクを見つけても、既存の運用フローに乗らなければ対処まで進みません。

導入前に連携の設計を考えておくことをおすすめします。

対象スコープをどこまで広げるか

国内拠点だけを対象にするのか、海外拠点やグループ会社まで含めるのかによって、必要なツールの要件やコストが変わってきます。とくにM&A直後や海外展開中の企業では管理外の資産が多い傾向があるため、最初から広めのスコープで始めるのもひとつの選択肢です。

まとめ

EASMは、ASMの中でも外部公開資産に特化した管理手法で、攻撃者と同じ視点から自社のリスクを把握できるのが強みです。国内では経済産業省のASM導入ガイダンスがEASMと同じ範囲を扱っているため「ASM=EASM」と捉えられがちですが、グローバルではCAASMとの役割分担を含めた広い概念として整理されています。

従来の脆弱性診断が「既知の資産」を対象にするのに対して、EASMは「まだ把握できていない資産を見つける」役割を担います。両者を組み合わせることで、外部公開資産の管理における抜け漏れを防ぐことができます。導入を検討する際は、自社の外部公開資産の把握状況、既存セキュリティ運用との接続、対象スコープの3点をまず整理してみてください。

外部公開資産の管理体制やEASMの導入について相談したい方は、ユービーセキュアの無料相談をご活用ください。セキュリティの専門家が、お客様の状況に合わせたアドバイスをお伝えしています。