脆弱性診断=アタックサーフェスマネジメント? 新興キーワードを深く学ぼう
アタックサーフェスマネジメントをより深く知るためのドキュメントとして
それを前提とし、アタックサーフェスマネジメントとして組織が何を目指し、どういう体制を構築する必要があるかをまとめたのが、今回紹介する「ASM導入検討を進めるためのガイダンス」です。「GitHub」に公開したドキュメントで、項目ごとに十分な解説がまとめられています。 同ドキュメントでは、アタックサーフェスマネジメントの要件定義として、既知・未知のIT資産管理や脆弱性管理・対応に関する課題から、それを解決するために必要な項目、実現するためのツール/サービスの選定ポイントがまとめられています。 冒頭に紹介したアタックサーフェスマネジメントの定義から、ここで考えるべき機能と、同カテゴリーに分類される各種サービスはどのようなものか、そしてそのカバー範囲の違いなども述べられています。「脆弱性診断」がアタックサーフェスマネジメントの代わりになるか、という問いについても、主に専門家による手動の診断サービスと比較しての特徴や違いがまとめられており、非常に参考になるはずです。
同じ名前であったとしても……
興味深いのは、補足や注意として記されている内容がヒントとなるという点です。例えば「アタックサーフェスマネジメントツールは脆弱性診断の代わりになる?」というコラムでは、補足として「本コラムにおける『脆弱性診断』は、専門家による手動診断サービスを想定して解説します」とあります。 これはつまり、専門家によらない、自動の診断サービスも同じく「脆弱性診断」という名称でサービスが提供されている点にも注意しなければならないということです。脆弱性診断も、サービス提供者によって品質が大きく異なることが課題になっています。実際のところ、セキュリティのサービスは同じ名称でありながら、その質や内容が大きく違うことが多く、こういったドキュメントでも多くの場合、冒頭に定義から解説されていることが多くなりました。 アタックサーフェスマネジメントは、IT資産管理や脆弱性管理が特に関係しています。これらの対策は多くの組織で進んでいるのですが、それが必要十分かどうかは、これも継続的にチェックしていかなければなりません。セキュリティの世界では昨日は十分だったことが、明日には時代遅れになっている可能性があります。 同ドキュメントや経済産業省のASM導入ガイダンスは、ブレやすい用語の意味や活用イメージなどを、組織内で一致させるために大変有用なドキュメントです。分量もさほど多くなく、ざっと読むだけでも、「アタックサーフェスマネジメント」というキーワードに対する認識のズレが見つかるのではないでしょうか。加えて、アタックサーフェスマネジメントに近いソリューションに対しても理解が深まるはず。このドキュメントが役に立つ組織は多いと思います。まずはチェックしてみてください。 働き方改革の大きな波で作られた「VPN」が、いつしかアタックサーフェスと認識されてしまい、対処がなされないまま何となく運用されて、結果的に侵入されていたという事例も増えてきています。加えて、部署が独自に導入した機器やクラウドサービスを起点とした、把握されていない攻撃可能面に気がついていない組織もあるでしょう。 広範囲のITセキュリティが関係し、さまざまな点を考慮しなければならないという意味では、アタックサーフェスマネジメントを起点としセキュリティへの理解を深めるためにとても良い題材です。それを確認するためにも、「ASM導入検討を進めるためのガイダンス」をぜひチェックしてみてください。大変有用な資料をまとめてくれた識者の皆さまに感謝したいと思います。 筆者紹介:宮田健(フリーライター) @IT記者を経て、現在はセキュリティに関するフリーライターとして活動する。エンタープライズ分野におけるセキュリティを追いかけつつ、普通の人にも興味を持ってもらえるためにはどうしたらいいか、日々模索を続けている。
ITmedia エンタープライズ
