近年、サイバー攻撃の手法がますます巧妙化する中、企業が自らの「攻撃対象領域(Attack Surface)」を正確に把握することの重要性が高まっています。
特にクラウドサービスの普及やテレワーク環境の拡大によって、外部に露出している資産の可視化が困難になり、意図せぬリスクが潜在化しているケースも少なくありません。
こうした背景から注目を集めているのが「ASM(Attack Surface Management)」という概念です。
これは、インターネット上に存在する企業のデジタル資産を継続的に調査・監視することで、潜在的な脆弱性やリスクを早期に発見するための手法を指します。
しかし、多くの企業にとってASMはまだ新しい分野であり、調査の方法や得られる結果について理解が十分とはいえない状況が続いています。
本記事では、「ASM 調査」というキーワードを軸に、実際の導入事例や公的機関・セキュリティベンダーによる報告をもとに、ASMで発覚した意外なリスクや調査結果の傾向を解説します。
ASMを活用することで、どのようなセキュリティ強化が可能となるのか、またどのような新たな脅威に対処すべきなのか、論理的かつ実践的に整理していきます。
ASMの活用を検討している企業担当者にとって、導入判断の一助となる内容が得られることでしょう。
ASMとは何か?その役割と重要性を再確認
近年、企業のITインフラはクラウド環境やリモートワークの普及により急速に変化し、従来の境界防御型セキュリティでは対応しきれない状況が続いています。
そのような中で注目を集めているのが「ASM(Attack Surface Management/アタックサーフェスマネジメント)」という概念です。
これは、外部からアクセス可能な企業の資産(IPアドレス、ドメイン、クラウドリソース、アプリケーションなど)を可視化・監視し、攻撃者が悪用可能なポイントを事前に特定・管理することを目的としたセキュリティ手法です。
従来の脆弱性診断やペネトレーションテストは、あらかじめ範囲を定めた上で実施されるものでしたが、ASMは対象範囲を限定せず、企業の「知られざる外部資産」まで含めて調査対象とする点が大きく異なります。
このアプローチにより、セキュリティ担当者が想定していなかった旧システムや開発環境、放置されたクラウドインスタンスなどが可視化され、「見えないリスク」が明るみに出るケースも多く報告されています。
たとえば、ある国内企業ではASMによる調査で、自社と関連のないはずのIPアドレスが公開状態でAWSに存在していることが発覚しました。
これは過去の委託業者が試験的に使用していたもので、放置されたまま外部にさらされていたため、攻撃者に悪用されるリスクがあったのです。
このようにASMは、現場の担当者でも気づきにくい「サイバー資産の迷子」を発見し、攻撃対象領域を縮小するための極めて有効なツールといえるでしょう。
また、経済産業省や内閣サイバーセキュリティセンター(NISC)もASMの導入を推奨するガイダンスを発行しており、政府レベルでもその必要性が認識され始めています。
このことからも分かるように、ASMは単なる技術的な調査ツールではなく、組織のセキュリティ戦略そのものを根本から見直す起点となる存在なのです。
つまり、ASMは「何を守るべきか」ではなく、「何が守られていないのか」を先回りして見つけ出すプロアクティブな防御手法であり、今後の企業における標準的なセキュリティ運用に組み込まれることが期待されます。
ASMの調査で判明したリスクの具体例とは
ASM(Attack Surface Management)の最大の価値は、従来のセキュリティ対策では把握しきれなかった「未知のリスク」を明らかにできる点にあります。
実際、ASMの調査によって発見された事例を分析すると、想定外の経路から情報が漏洩する可能性や、既に攻撃者に狙われていた事実が後から判明するケースも多く報告されています。
例えば、某大手企業がASMを導入した結果、グループ会社が管理する旧ドメインが未だにDNSに残存しており、しかもサブドメインの一部がShodan上で発見可能な状態だったことが判明しました。
これにより、旧サーバー上の脆弱なCMS(コンテンツ管理システム)を通じて、認証情報や内部文書が漏洩していた可能性が浮上したのです。
このようなケースは、グループ全体での情報統制が不十分な企業で特に起こりやすく、ASMがなければ気づくことすらできなかったといえるでしょう。
また、あるクラウドネイティブ企業の事例では、CI/CD環境に接続されていた旧バージョンのGitリポジトリが公開状態になっていたことが判明しました。
この中には過去に使用されていたAPIキーやベーシック認証の情報が平文で含まれており、悪意ある第三者がこれを利用してバックドアを構築していた痕跡もあったといいます。
ASMによる表層的なIP調査だけでなく、アセット全体の構成チェックを行うことで、開発・運用のフロー全体に潜むセキュリティホールが顕在化した好例です。
さらに、GMOサイバーセキュリティやSoliton Systems、LACなどのASMサービス提供各社が公表する分析レポートによれば、以下のような「見落とされがちなリスク」が定常的に発見されています:
- テスト環境やステージングサーバーが本番同様の構成で外部公開
- 解約済みのクラウド契約に紐づくDNSレコードが放置され、乗っ取り可能に
- Google検索やGitHub、Shodanなどで検出可能なログファイルの誤公開
- 古いSSL証明書が有効期限切れのまま残存し、スプーフィングに悪用される
- 一部サードパーティ製のCDN経由で、ユーザーデータが第三国に転送されていた事例
これらのリスクは一見して些細なように思えるかもしれませんが、実際には標的型攻撃や情報収集フェーズにおいて「足掛かり」となる重要な情報源となります。
ASMの導入によって初めて明るみに出るリスクであるため、いかに可視化とモニタリングの継続が重要かが理解できるでしょう。
このように、ASMは単なる「情報収集ツール」ではなく、既存のセキュリティ管理体制に根本的な見直しを促す“リスク発掘装置”としての側面も強く持っています。
結果的に、リスク対応にかかるコストや対応スピードを最適化するだけでなく、事後対策よりもはるかにローコストで全体最適を実現できる点も大きな魅力といえるでしょう。
見落とされがちな外部公開資産とその影響
ASMの調査で最も頻出するリスクのひとつが、「見落とされた外部公開資産」の存在です。
外部公開資産とは、インターネット上に公開されているIPアドレス、ドメイン、Webアプリケーション、メールサーバー、DNS設定、さらにはCDNやクラウドインフラなどを含む、企業が意図的または無意識に公開しているすべてのサイバー資産を指します。
一見、セキュリティソリューションで保護されているように見える企業でも、古いサーバーや外部委託業者が過去に使用していたクラウド領域、あるいは期限切れのSSL証明書を抱えたまま放置されたサブドメインなど、企業が把握しきれていない“死角”が存在することは珍しくありません。
ASMの導入により、そうした資産が「企業の攻撃対象領域(アタックサーフェス)」として再定義されることで、新たなリスクの入り口が可視化されるのです。
例えば、LACの報告によれば、ある中堅企業において、過去にテスト目的で利用していたSaaS型の業務支援ツールが外部にそのまま公開されており、しかも初期設定パスワードでアクセス可能な状態だったという事例があります。
このようなケースでは、第三者によるデータ改ざんや情報漏洩が発生するリスクが極めて高く、実際にその環境を通じてメールスプーフィングが行われた形跡が確認されたといいます。
また、経済産業省が公開した「ASMガイダンス(2024年改訂版)」でも、外部資産として特に注意すべきものとして以下の項目が挙げられています:
- 解約済みドメイン/DNSレコードの残骸
- シャドーIT(部署・個人単位で導入された未登録SaaS)
- 認証なしでアクセス可能な開発/検証環境
- クラウド上に放置された旧インスタンス(EC2, Azure VMなど)
- SSL証明書やSPF/DKIMレコードの設定漏れ
- IPMIなどの管理ポートが外部公開されている状態
これらの存在は、通常の内部監査や脆弱性スキャンでは検出されにくく、ShodanやZoomEyeなどのサイバー空間検索エンジンを通じて外部から簡単に特定されてしまうという特性があります。
つまり、攻撃者側から見れば“見つけやすい”にも関わらず、守る側からは“見落とされやすい”という極めて厄介なポイントであるといえるでしょう。
さらに、Soliton SystemsやUBSecureなどのサービスベンダーも警鐘を鳴らしており、クラウド移行が進んだ今の時代だからこそ、資産管理の自動化・継続監視の仕組みが不可欠であると述べています。
手動での台帳管理や定期的な棚卸しだけでは、ASMが求めるスピードと精度に対応しきれないため、定量的・定期的な可視化こそがリスクの最小化に直結するといえるでしょう。
このように、ASMを活用することで、表面化していなかったリスクの入り口となる「外部公開資産」を特定できる点は、従来のセキュリティ手法にはない強みであり、セキュリティ体制の抜本的な見直しにも繋がると期待されます。
主要ベンダーによるASM調査結果の比較と考察
ASM(Attack Surface Management)の概念が国内外で浸透し始めた今、多くのセキュリティベンダーが独自のASMサービスを提供し、実際の調査結果やレポートを公開しています。
これらの結果を比較することで、企業がどのような資産やリスクに晒されているのか、より実践的な傾向を読み解くことが可能です。
まず、GMOサイバーセキュリティ byイエラエが公開している調査結果によれば、企業1社あたりの「見落とされた資産」の平均件数は11.4件にものぼり、うち3割が「すでに何らかの脆弱性を抱えていた」と報告されています。
特に、外部公開された開発環境や古いCMS、解約済みドメインに付随するDNSレコードの放置などが主要なリスク要因として挙げられています。
これは、日々の業務で使用されていない資産であっても、インターネット上に存在していれば“攻撃対象”になり得るという現実を示しています。
一方、Soliton Systemsのレポートでは、2024年後半に実施されたASM調査において「意図しないサブドメインの発見」が全体の65%の企業で発生していたとされています。
多くの場合、これはマーケティングや広報部門が試験的に作成したものであり、IT部門の管理外にある“シャドーアセット”であったことが原因です。
また、SSL証明書の自動更新設定が外れていたケースも多く、サイバー空間での「放置資産」が可視化されたことで即時の対応に繋がったと報告されています。
さらに、NRIセキュアテクノロジーズの分析では、以下のような重要ポイントが比較表形式で示されています:
| ベンダー名 | 調査アプローチ | 主な発見項目 | 特徴的な機能 |
|---|---|---|---|
| GMOサイバー | 自社開発のASMエンジンで巡回 | 古いCMS、DNS設定ミス、APIキー流出 | 専門エンジニアによる手動調査対応 |
| Soliton Systems | サードパーティ+自社AI活用 | シャドーIT、証明書切れ | ダッシュボードによる継続可視化 |
| LAC | 国内実績重視の広範スキャン | 過去のセキュリティ診断との整合性 | 多層的なレポート形式 |
| NRIセキュア | インテリジェンスと組み合わせ | サプライチェーン資産の可視化 | 他ツール連携の自動化が強み |
| セコムトラスト | IoT・産業機器も含めた調査 | OT資産やICS設備の漏れ把握 | 物理環境との統合も可能 |
このように、各ベンダーによって得意とする領域が異なるため、ASMの目的に応じて「脆弱性中心」「外部資産中心」「クラウド最適化型」など、導入すべきサービスを選別することが重要になります。
また、いくつかの調査結果では、クラウド環境における誤設定(例:S3バケットの公開設定ミスや、Azureポリシーの不整合)に起因するリスクも散見されており、マルチクラウド時代におけるASMの価値が一層高まっていることが伺えます。
加えて、海外の動向では、ASMを単体で導入するだけでなく、SOAR(Security Orchestration, Automation and Response)やSIEMと連携して自動応答まで組み込む動きも進んでいます。
つまり、ASMは単なる監視機構ではなく、セキュリティ運用全体の「起点」となる要素へと進化しているのです。
このような分析結果を踏まえると、企業は単にASMツールを導入するだけではなく、「何を見える化したいのか」「何を守りたいのか」を明確にし、対象範囲や自動化の方針を含めた戦略的設計が求められるといえるでしょう。
ASM導入によるセキュリティ強化の実践事例
ASM(Attack Surface Management)は、単なる監視ツールにとどまらず、企業のセキュリティ体制を実質的に強化する「攻撃対象領域の縮小施策」として注目されています。
特に近年では、日本国内の大手企業や公共機関においてもASMの導入が進み、実際にセキュリティインシデントの予防につながった事例が複数報告されています。
たとえば、国内大手の通信事業者A社では、ASM導入以前、開発部門が独自に立ち上げた検証用クラウド環境が数十個単位で放置されている状況が続いていました。
これらの環境は本番と類似の構成で外部公開されており、旧ライブラリの脆弱性(Apache Struts系)や、未設定のWAFなどセキュリティ上の課題が多数残されていたのです。
ASMの導入によりこれらが即時に検出され、担当部門と連携して段階的なシャットダウンと構成見直しが進められた結果、「情報漏洩につながる可能性があった資産を100%排除できた」と報告されています。
また、グローバル展開を行う製造業B社のケースでは、ASMによって中国拠点が使用していたVPN装置が、世界的に脆弱性が指摘されていた旧型ファームウェアのまま稼働していることが発覚。
加えて、このVPNは海外からのアクセスを許可した状態で、かつアクセスログも取得されていなかったため、攻撃者による偵察や侵入が既に行われていた可能性が否定できませんでした。
その後、ファーム更新とグローバルポリシーの再構築を実施し、以降のSOC監視によって不審通信が明らかに減少したことから、ASMによる「見えない脆弱資産の可視化」が極めて有効だったことが分かります。
このような導入効果は、サービス提供側のベンダーでも事例として積極的に共有されており、たとえばSoliton Systemsでは以下のような実績を公表しています:
- 某大学病院:Shodan上に存在していた旧PACSサーバーをASMにより検出 → アクセス遮断と廃止
- 某地方自治体:DNS設定の誤りにより庁内メールサーバーが第三者に乗っ取られかけていた → ASMで検出し即時対処
- 某小売チェーン:店舗Wi-FiのSSIDとMACアドレスがOSINT経由で可視化 → 外部からの侵入試行を遮断
さらに、マネージドASM(Managed ASM)という形で、外部ベンダーが定期的に調査・レポーティングを行い、発見されたリスクをエスカレーションしてくれるサービスも増えています。
これにより、社内に専門知識を持つ人材がいなくても、最新の攻撃手法や攻撃対象の変化に応じて柔軟な対応が可能になる点も、大きなメリットといえるでしょう。
また、NRIセキュアが提供するASM支援サービスでは、調査結果をもとに**「攻撃者視点の資産評価マップ」**を提供しており、経営層への報告資料としても活用できる設計となっています。
こうしたアウトプットがあることで、現場だけでなく経営レベルでもASMの意義が理解されやすくなり、セキュリティ投資への説得力も格段に増すと考えられます。
このように、ASMの導入によって実際にセキュリティインシデントを未然に防いだ成功事例は多数存在し、単なるトレンドではなく「業務継続性を支える基盤」としての存在感を強めているといえるでしょう。
まとめ:ASM調査で得られた知見と今後の対策指針
本記事を通じて見てきたように、ASM(Attack Surface Management)は、企業のセキュリティ対策における新たな「当たり前」となりつつあります。
特に、日々進化するサイバー攻撃に対抗するためには、守るべき資産を正確に把握し、定常的に管理・監視するという基本動作を継続的に行う必要があります。
その第一歩として、ASMは自社の攻撃対象領域を「可視化」する極めて有効な手段であることが、各社の調査結果や導入事例からも明らかになりました。
ASMによって判明したリスクは多岐にわたり、以下のような知見が得られました:
- 意図しない形で外部公開されていた資産の発見(例:開発用環境、旧サブドメイン)
- 放置されたDNS設定やクラウドインスタンスが新たな攻撃ベクトルになる事例
- APIキーやパスワードのハードコード漏洩による情報流出の危険性
- 外部から容易に特定可能な証明書失効や未更新のサービス群
- 既存の台帳管理や脆弱性診断では見逃される“サイバー資産の迷子”
これらは一見地味な問題に見えるかもしれませんが、実際には「事前に発見できていれば防げた事故」の典型例であり、情報漏洩や不正侵入といった深刻なインシデントに直結する可能性を秘めています。
ASMはそれらの“予兆”をとらえることで、重大な損失を回避することができるのです。
さらに、複数のベンダーによるASM調査結果の比較からも明らかになったのは、ツールの選定や導入方針次第で可視化できる範囲や対応の速さが大きく変わるという点です。
したがって、ASM導入の際には以下のような視点での検討が求められます:
- 対象とする範囲の明確化(クラウド資産/オンプレ環境/サードパーティ含む)
- ツールのカバー領域(脆弱性検知/証明書チェック/DNSスキャンなど)
- レポートや通知の自動化レベル(ダッシュボード/API連携/SOAR連携)
- ベンダーによる運用支援体制(導入後のコンサル/定期レポートなど)
今後、ASMの重要性はますます高まり、特にゼロトラストセキュリティの文脈においては、「動的に変化する攻撃対象領域」を常時監視することが前提条件となるでしょう。
また、NISC(内閣サイバーセキュリティセンター)や経産省が発信するガイドラインにおいても、ASMを導入・活用する企業が「情報セキュリティ対策の先進事例」として扱われるケースが増加しています。
一方で、ASMの導入にはコストや人材リソース、既存システムとの整合性といった課題も存在します。
しかし、それらの課題を差し引いても、「自社の“見えていない資産”を明らかにしなければ、対策の打ちようがない」という本質的な事実は変わりません。
したがって、ASMの活用は“高度なセキュリティ技術”というよりも、“インフラ運用の基礎動作”として捉えるべき段階に来ているといえるでしょう。
特に今後、クラウドネイティブなIT環境を前提とする時代において、ASMを軸にした攻撃対象領域の可視化・縮小戦略を導入することが、企業の情報資産を守るための最も現実的かつ効果的な選択肢となっていくはずです。
以上より、ASMは「導入すべきかどうか」ではなく、「どのように運用に組み込むか」を問うべきフェーズに入っていると総括できるでしょう。
企業のセキュリティ対策なら「Wit One」にお任せください!
サイバー攻撃の手口は年々巧妙化し、従来の対策だけでは防ぎきれないケースも増えています。とはいえ、専門知識を持つ人材や24時間体制のSOC運用を自社で確保するのは、大きな負担にもなりかねません。
Wit Oneなら、XDRやEDRを活用した常時監視体制を低コストで実現可能。経験豊富なアナリストが、24時間365日体制でインシデントに対応し、ビジネスの安心・安全を支えます。
最小限の負担で最大のセキュリティ効果を得たい企業様は、ぜひ一度ご相談ください。
