脆弱性診断とは何が違う？ASMソリューションと徹底比較

皆様の組織においても、サイバー攻撃への備えとして従来から様々なセキュリティ対策ソリューションの導入を検討し、実施し、見直しを繰り返してきたことでしょう。日々高度化するサイバー攻撃同様に、それらに対する防御や検知ソリューションもまた高度化し、次々に新たな対策が生み出されてきました。しかしながらこうした対策のほとんどは侵入する脅威を防ぎ、または見つけて迅速に対応するためのものです。つまり攻撃を受ける可能性を下げるものではなく、攻撃を受けた場合に被害を最小限とするための対策です。

こうした状況の中で今新たに注目を集めているのが、そもそも攻撃を受ける可能性を低下させる予防の観点での対策です。従来からも資産管理や脆弱性管理ソリューション、脆弱性診断サービスなどを活用し、攻撃を受けた際に悪用されうるリスクを低減させる対策は活用されてきました。これに加えて昨今導入が進められている対策の１つがASMソリューションです。

本ブログでは、従来から活用されている脆弱性診断サービスASMソリューションにはどのような違いがあるのか紹介します。

ASMソリューションとは

ASM(Attack Surface Management)ソリューションは、組織が外部公開する資産(アタックサーフェス)の管理や可視化を行うためのソリューションです。外部に公開する資産に限定した管理を行うことから外部アタックサーフェス管理(EASM: External Attack Surface Management)と呼ばれることもあります。

多くの組織では、資産管理ソリューションや資産台帳を活用したIT資産の管理を実現しています。中には脆弱性管理機能や専用ツールを活用してIT資産が内包する脆弱性まで管理できている組織もあります。しかしながら、シャドーITと呼ばれるようなIT管理者が認識できていないIT資産、例えば従業員が独自に利用しているクラウドサービスや独自に公開されたWebサーバ、VPNゲートウェイなどに対しては、監視ツールの導入や台帳管理がされていないために気づく仕組みがないのが現状です。実際にこうしたシャドーITが持つ脆弱性や脆弱な設定が攻撃者に悪用される被害は増加しており、シャドーITの発見と管理の徹底は昨今の組織における最重要課題の1つとなっています。

ASMソリューションが提供するのは、こうしたシャドーITを含む組織のあらゆる外部公開資産の情報を自動で収集し、可視化、管理するためのプラットフォームです。インターネット上に公開されているあらゆる情報を収集し、ドメインやIPアドレスだけではなく、それらに紐づく情報として利用されているハードウェアやソフトウェア、アプリケーション、脆弱性、アカウント情報、SSL証明書などの様々なアタックサーフェスを管理対象とします。

ASMソリューションの詳細は別途こちらのブログを参照ください。

脆弱性診断とASMソリューションの違い

ASMソリューションによる管理対象には、脆弱性が含まれます。この事実を伝えることで、「では、脆弱性診断と何が違うのか？」という疑問を持つ方が少なくないようです。そこで、脆弱性診断とASMソリューションの違いについて「目的/用途」、「対象」、「実施頻度」の3つの観点から比較していきましょう。

目的/用途

ASMソリューションの利用目的は「自社のセキュリティリスクを軽減すること」にあります。組織の公開アタックサーフェスが持つ脆弱性や脆弱な設定が攻撃者に悪用されることでサイバー攻撃が行われています。このような悪用される可能性の高い公開アタックサーフェスの可視化や管理を実現し、定常的なセキュリティリスクのチェックを行います。新たなセキュリティリスクとなりうるシャドーITや脆弱性、脆弱な設定をリアルタイムに検出し、IT管理者による迅速な対応が行われることで、セキュリティリスクが低い状態を維持し続けることができます。

一方で脆弱性診断の目的は「特定の自社システムのセキュリティリスクを無くすこと」にあります。脆弱性診断では診断対象となるシステムに対して、脆弱性の網羅的な抽出を行います。診断の方法とレベルによって抽出できる情報量が変わり、より強力な診断では、擬似攻撃通信を利用する場合や、アナリストによる手動での診断やハッキングなどを試みるようなものもあります。

こうした目的の違いがありつつも共通する点はいずれも脆弱性を発見できることです。脆弱性の発見の専用ツールとも言える脆弱性診断では、最新の流行りの脆弱性からすでに悪用されることが少なくなっている古い脆弱性まで全ての脆弱性を網羅的に抽出することができます。これに対してASMソリューションで行われている手法としては、利用しているソフトウェアのバージョン情報との比較や擬似攻撃通信を試みるような簡単なチェックにとどまり、網羅的な抽出はできません。目的や用途の違いから、このような確認できる脆弱性の粒度の違いが生じます。

対象

ASMソリューションによる管理対象は「シャドーITを含む自社の全ての公開アタックサーフェス」です。ドメインやIPアドレスだけを対象とするのではなく、それらへのアクセスの結果判明する利用しているハードウェアやソフトウェア、アプリケーション、脆弱性など攻撃者に悪用されうるあらゆるアタックサーフェス情報を収集し、管理することができます。

一方の脆弱性診断は、IT管理者が把握している範囲内での「自社で利用している特定のシステム」を診断の対象とします。公開資産だけではなく、社内ネットワーク内からのアクセスしか許可されていない非公開資産も対象とできますが、全てのシステムを対象とした診断が行われることはあまりありません。サービス提供を行っている基盤システムや、重要なシステムなどサイバー攻撃に備える重要度の高いシステムを対象として行うことが多いです。

ASMソリューションでは管理下にあるかどうかに関わらず全ての公開資産、公開アタックサーフェスに対する管理を実現するのに対し、脆弱性診断では外部公開状況に関わらず管理下にある特定の資産に対する診断を行います。これが対象の違いです。

実施頻度

ASMソリューションは管理対象に対する定常的な監視とセキュリティチェックを行うツール/サービスです。新たなシャドーITを迅速に発見することで、IT管理者による迅速な対応に繋げます。

一方で多くの組織で脆弱性診断はこれまで実施されていますが、多くは年に1回や半年に1回程度の頻度で実施されています。セキュリティ対策の一環として定期的な棚卸しのような使われ方をされることが多いです。

まとめ

いかがでしたでしょうか。ASMソリューションも脆弱性診断もいずれも自社のセキュリティリスクの低減につながるものですが、目的や用途の違いから異なるソリューションであることがよくわかるのではないでしょうか。イメージとしては広く浅く管理するソリューションがASMソリューションであり、狭く深く追求する調査ツールが脆弱性診断と言えます。

しかしながら、ASMソリューションと脆弱性診断はどちらも必要な対策であり、どちらか一方を実施するだけで十分と呼べる対策でもありません。2023年5月には、経済産業省からASMソリューションのような公開アタックサーフェスの管理ソリューションやサービスを活用したASMプロセスの導入利用に関する最新のガイダンスも公開されています。その中にも公開アタックサーフェスを管理できるソリューションと、脆弱性診断の併用や使い分けについて言及されています。
※ASMプロセス実現に関する最新のガイダンスの詳細は、こちらのブログを参照ください。

弊社では、Mandiant Attack Surface Management や、インテリジェンスを提供するSecurityScorecard Attack Surface Intelligenceを取り扱っております。アタックサーフェスの管理にご興味がある方はぜひ弊社までお問い合わせください。