ASM(アタックサーフェス管理)とは──サイバーセキュリティ戦略2025が推進する理由
ASM(Attack Surface Management:アタックサーフェス管理)とは、組織が外部に公開しているIT資産を攻撃者の視点で継続的に棚卸し、脆弱性・リスクを評価・是正するセキュリティ手法です。日本語では「攻撃対象領域管理」とも呼ばれます。
日本政府は2025年にかけてサイバーセキュリティ施策を大幅に強化しており、内閣官房内閣サイバーセキュリティセンター(NISC)は2024年7月、各府省庁・独立行政法人・指定法人の情報システムを対象とした「横断的アタックサーフェスマネジメント(ASM)事業」の運用を開始しました。経済産業省も2023年5月に「攻撃対象領域管理(ASM)導入ガイダンス」を公表し、民間企業への普及を促しています。
ASMが重要視される背景には、クラウド移行・テレワーク普及・IoT機器増加によって組織のIT資産境界が急速に拡大していることがあります。警察庁の調査では、2023年のランサムウェア被害のうち63%がVPN機器経由、18%がリモートデスクトップ経由で侵入しており、外部に露出した資産の管理が急務となっています。
ASMは従来の脆弱性診断と異なり、一点モノのスナップショット調査ではなく継続的な監視・評価を特徴とします。以下の表にASMと従来の脆弱性診断の主な違いをまとめます。
観点 | 従来の脆弱性診断 | ASM |
|---|---|---|
実施頻度 | 定期的(年1〜2回程度) | 継続的・自動化 |
対象資産 | 事前定義されたスコープ | 外部公開資産全体(未知の資産も含む) |
視点 | 内部(守備側) | 外部(攻撃者視点) |
主な目的 | 既知資産の脆弱性検出 | 資産の発見・可視化・リスク評価・是正 |
日本企業が直面する攻撃対象領域拡大の現状
クラウドファースト戦略の推進により、多くの日本企業ではAWSをはじめとするパブリッククラウド上に大量のリソースが展開されています。EC2インスタンス・コンテナイメージ・Lambda関数・S3バケット・RDSエンドポイントなど、攻撃者が狙いうる「面」は従来のオンプレミス環境と比較して飛躍的に増加しています。
クラウド環境特有の攻撃対象領域拡大要因としては、以下のものが挙げられます。
リスク要因 | 具体例 | 想定される影響 |
|---|---|---|
セキュリティグループの設定ミス | 0.0.0.0/0へのSSH/RDP開放 | 不正アクセス・ブルートフォース攻撃 |
パッチ未適用のOS・ライブラリ | CVEが修正されていないEC2 | 既知の脆弱性を突いたエクスプロイト |
公開コンテナイメージの脆弱性 | 古いベースイメージを使うECRイメージ | コンテナブレイクアウト・権限昇格 |
過剰なIAM権限 | AdminAccess付与のサービスロール | 認証情報漏洩時の被害拡大 |
シャドーIT・未管理リソース | 開発者が個人で作成したEC2インスタンス | セキュリティポリシー適用漏れ |
このような複雑なリスク環境に対処するには、資産の継続的発見・評価・是正というASMのサイクルをクラウドネイティブなツールで自動化することが不可欠です。AWSはまさにこの目的に活用できるマネージドサービスを複数提供しています。
AWS InspectorによるASMの実践──継続的な脆弱性スキャン
Amazon Inspector(Amazon Inspector v2)は、EC2インスタンス・Amazon ECRコンテナイメージ・Lambda関数を対象に、ソフトウェアの脆弱性(CVE)とネットワーク到達可能性の問題を継続的・自動的にスキャンするマネージドサービスです。エージェントのインストール不要で有効化でき、AWS Systems Manager(SSM)エージェントを通じてEC2インスタンスを評価します。
Inspector v2が提供する主なスキャン対象と検出内容は以下のとおりです。
スキャン対象 | 検出内容 | ASMにおける役割 |
|---|---|---|
EC2インスタンス | OS・アプリのCVE、ネットワーク到達可能性の問題 | インターネット到達可能なインスタンスのリスク優先度付け |
Amazon ECRイメージ | OSパッケージ・言語ライブラリのCVE | デプロイ前のコンテナイメージの脆弱性排除 |
Lambda関数 | 依存ライブラリのCVE、コードの脆弱性 | サーバーレス関数の攻撃対象領域の縮小 |
InspectorのASMとしての最大の価値は「継続的スキャン」にあります。新しいEC2インスタンスの起動、ソフトウェアのインストール・更新、新しいCVE情報の公開など、環境変化のタイミングで自動的に再スキャンが実行されます。これにより、スポット的な診断では見落とされがちなゼロデイ寄りの脆弱性にも迅速に対応できます。
また、Inspectorが生成するリスクスコア(Inspector Score)はCVSSスコアにネットワーク到達可能性などの文脈情報を加味したもので、単なる脆弱性の重大度だけでなく「その脆弱性が実際に攻撃者に到達されるか」という観点から優先度を判断できます。これはASMの本質である「攻撃者視点でのリスク評価」と一致します。
AWS Organizationsを使用したマルチアカウント環境では、管理アカウントからInspectorを一括有効化し、全メンバーアカウントの脆弱性情報を集約して管理することが可能です。これにより組織全体の攻撃対象領域を統合的に把握できます。
AWS Security HubとAWS ConfigでASMを完成させる
Amazon Inspectorが脆弱性管理(VM)の側面でASMを支えるのに対し、AWS Security HubとAWS Configはセキュリティポスチャ管理(CSPM)の側面から攻撃対象領域の縮小に貢献します。
AWS Security Hubは、Inspector・GuardDuty・Macie・IAM Access Analyzerなど複数のAWSセキュリティサービスの検出結果を一元集約し、ASFF(Amazon Security Finding Format)で統一的に管理するサービスです。Security Hub CSPMは、CIS AWS Foundationsベンチマーク・AWS Foundational Security Best Practices・PCI DSSなどのセキュリティ標準に基づく自動チェックを実施し、設定ミスによる攻撃対象領域の拡大を検出します。
AWS Configは、AWSリソースの設定変更を継続的に記録し、定義したルールへの準拠状況を評価するサービスです。Conformance Pack(適合パック)を活用することで、CIS AWS Foundations BenchmarkやNISTなどの標準フレームワークに対応した複数のルールセットを一括デプロイできます。
Security HubとConfigはASMにおいて以下のような役割を担います。
サービス | ASMにおける機能 | 検出例 |
|---|---|---|
AWS Security Hub | 複数サービスの検出結果集約・優先度付け・ダッシュボード表示 | 「S3バケットのパブリックアクセスが有効」「MFAなしのIAMユーザー」など |
AWS Config | リソース設定の継続記録と準拠評価・変更履歴管理 | 「セキュリティグループに不適切なインバウンドルールが追加された」など |
Inspector + Security Hub連携 | 脆弱性情報をSecurity Hubに転送して統合管理 | CVSSスコア7以上のCVEを持つEC2インスタンスの一覧化 |
Security HubのCSPM機能はAWS Configの設定アイテムを活用しており、両者は連携して動作します。Config ルールが検出した設定違反がSecurity Hub Findingとして集約されるため、脆弱性と設定ミスの両方を単一のコンソールで管理できます。Security HubのAutomation Rules機能を使えば、特定の条件に合致するFindingに対して自動的にワークフローを起動したり、EventBridge経由でLambdaを呼び出して自動修復したりすることも可能です。
ASM実装アーキテクチャと運用ベストプラクティス
AWS上でASMを実践するためのリファレンスアーキテクチャとして、以下の構成が推奨されます。
基本的なアーキテクチャは、Inspector・Config・Security Hub・GuardDutyを全アカウント・全リージョンで有効化し、AWS Organizations経由でセキュリティ専用アカウント(Security Tooling Account)に検出結果を集約するものです。Security HubのMulti-Account統合機能により、数十〜数百のアカウントにまたがる攻撃対象領域を単一のガラス板(Single Pane of Glass)で管理できます。
運用ベストプラクティスをフェーズごとに整理すると以下のようになります。
フェーズ | 実施内容 | 推奨ツール |
|---|---|---|
資産の発見・可視化 | 全リソースのインベントリ作成、インターネット到達可能な資産の特定 | AWS Config、Inspector(ネットワーク到達可能性スキャン) |
リスクの評価・優先度付け | Inspector ScoreとCSPMスコアを組み合わせたリスクランク付け | Amazon Inspector、Security Hub |
是正・修復 | 高リスクな脆弱性・設定ミスを優先的に修復、自動修復ルールの設定 | Security Hub Automation Rules、AWS Config Auto Remediation、Lambda |
継続的な監視 | 新規リソース追加時・CVE公開時の自動再スキャン、閾値アラート | Inspector、EventBridge、Amazon SNS |
レポーティング・ガバナンス | セキュリティスコアの経時変化を追跡、コンプライアンス報告 | Security Hub ダッシュボード、Config Conformance Pack |
実装において特に重要なのは、「是正(Remediation)」の自動化です。Security Hub FindingをトリガーにEventBridgeルールを設定し、Lambda関数で自動修復を実行する仕組みを構築することで、人手を介さずに攻撃対象領域を縮小できます。たとえば「インターネットに向けて22番ポートが開放されたセキュリティグループが作成された」という検出に対して、自動的に該当ルールを削除する処理を実装することが典型的なユースケースです。
また、ASMを継続的に機能させるためには、Infrastructure as Code(IaC)によるリソース管理と組み合わせることも有効です。AWS CDKやTerraformでリソースを定義し、CIパイプライン内でConfig/Inspector評価を組み込むことで、「デプロイ前にセキュリティリスクを排除する」というシフトレフトのアプローチを実現できます。
まとめ:ASM導入で実現するサイバーレジリエンス
本記事では、サイバーセキュリティ2025が推進するASM(アタックサーフェス管理)の概念と、AWS Inspector・Security Hub・Configを使った実践方法について解説しました。
ASMの本質は「継続性」と「攻撃者視点」にあります。一度きりのスキャンではなく、環境変化に追随して常に攻撃対象領域を把握し、リスクを最小化し続けることが重要です。AWSのマネージドサービスを活用することで、この継続性を低い運用コストで実現できます。
NISCが政府機関向けに横断的ASM事業を展開している現状を踏まえると、民間企業においてもASMはもはや先進的な取り組みではなく、基本的なセキュリティ対策として位置づけられつつあります。特にAWS環境を持つ組織にとって、Inspector・Security Hub・Configの三位一体の活用は、ASM実装のコストパフォーマンスに優れたアプローチといえます。
Ragateでは、AWS上のセキュリティ基盤構築・ASM導入支援を提供しています。クラウド環境のセキュリティポスチャ強化について、お気軽にご相談ください。
