ASM導入でセキュリティレベルを3倍向上！中堅・中小企業の成功事例

2024年7月19日に内閣官房内閣サイバーセキュリティセンターは、各府省庁、独立行政法人・指定法人の情報システムを対象に、Atack Surface Managementを実施すると発表しました。

ASMとは、企業のITシステムが攻撃を受ける可能性のある範囲、すなわち“攻撃面”を管理し、最小限に抑えるためのアプローチです。大企業においては、既にASMは広く採用され、サイバーセキュリティ対策の一環として位置づけられています。

では、規模が小さな企業でもASMを実施すべきでしょうか？私は、実施すべきと考えます。その3つの理由を記載いたします。

まず第一に、現代社会のIT環境は、企業規模によってリスクが大きく変わるものではありません。むしろ、中堅・中小企業は自社のリスクを適切に評価しきれていないことが多く、予期しないサイバー攻撃を受けるリスクが高いと言えます。ASMにより、自社の攻撃面を可視化し、リスクを評価することで、より適切な対策を立てることが可能となります。

中堅・中小企業では経済的な制約や人材の問題から、セキュリティ対策が十分に行えない場合も少なくありません。ASMを適用することで、攻撃面を小さくするだけでなく、必要とされるセキュリティ対策を優先的に行うことができます。

最後に、ASMは組織全体のセキュリティ意識を高める効果もあります。攻撃面を明確にすることで、社員一人ひとりが自身の行動が企業全体のセキュリティにどのように影響を与えるかを理解し、より責任感を持って行動することが期待できます。

ただし、ASM実施する際には、専門的な知識を持つ人材や外部の専門家の協力が必要となることを理解しておく必要があります。また、ASMは一度の活動で終わりではなく、定期的に見直しを行い、継続的に攻撃面を管理していくことが求められます。

ASMと同じようにリスクを把握する手段として、脆弱性診断というアプローチがあります。ASMと脆弱性診断は、どちらも企業のセキュリティ強化に役立つ技術ですが、その目的や対象範囲が異なります。

表中にある通り、ASMは攻撃対象範囲の可視化とリスク最小化を目的としています。

脆弱性診断は特定したシステムに対して効果的なセキュリティ対策ですので、「ASMで対策すべき範囲を特定し、脆弱性診断を行う」という、組み合わせが有効です。人間の身体に例えると、定期的な人間ドックや健康診断で状態を把握し、検診結果をもとに、特定の臓器の精密検査を行って対処するようなものと考えてください。