search close

テーマ別対策
- 課題別
  - 課題別
    - 課題別
      詳しくはこちら
  - サイバーリスク管理
    - サイバーリスク管理
      
      継続的なアタックサーフェス（攻撃対象領域）の監視により、コンプライアンスに準拠します。
      詳しくはこちら
  - クラウドネイティブアプリケーションの保護
    - クラウドネイティブアプリケーションの保護
      
      クラウドネイティブなアプリケーションの開発スピードを阻害しないセキュリティを提供します。
      詳しくはこちら
  - ハイブリッドクラウド環境を保護
    - ハイブリッドクラウド環境を保護
      
      オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。
      詳しくはこちら
  - ボーダーレス環境をセキュアに
    - ボーダーレス環境をセキュアに
      
      ID、エンドポイント、メール、モバイル、Webを保護し、ユーザが使用するツールから生じるリスクを軽減します。
      詳しくはこちら
  - ネットワークの死角をなくす
    - ネットワークの死角をなくす
      
      クラウドからデータセンタ、工場フロアまで、ネットワーク全体を保護します。
      詳しくはこちら
  - より迅速な対応を実現
    - より迅速な対応を実現
      
      脅威の把握と対処を加速し、SOCおよびITセキュリティチームの負担を軽減します。
      詳しくはこちら
  - リソースの最適化
    - リソースの最適化
      
      積極的なリスク軽減対策とマネージドセキュリティサービスで効果を最大化します。
      詳しくはこちら
  - ゼロトラストへの道
    - ゼロトラストへの道
      
      ゼロトラストでセキュリティを強化するために
      詳しくはこちら
- 役割別
  - 役割別
    - 役割別
      詳しくはこちら
  - CISO
    - CISO
      
      市場をリードするXDR、動的なアタックサーフェスリスクマネジメント、セキュリティソリューションにより、現在および未来のニーズを満たします。
      詳しくはこちら
  - SOC責任者
    - SOC責任者
      
      統合サイバーセキュリティプラットフォームにより、アタックサーフェス（攻撃対象領域）のサイロ化、複雑化、拡大化を防ぎ、サイバー攻撃を阻止します。
      詳しくはこちら
  - ITインフラ責任者
    - ITインフラ責任者
      
      セキュリティを進化することで、より少ないリソースでより多くの保護を実現し、脅威を迅速かつ効果的に軽減します。
      詳しくはこちら
  - クラウド構築者・開発者
    - クラウド構築者・開発者
      
      セキュリティを強化しながら、革新的なアプリケーションをオンタイムで提供できます。
      詳しくはこちら
  - クラウド運用者
    - クラウド運用者
      
      クラウドネイティブアプリケーション向けのセキュリティを提供することで、マルチクラウドの複雑さを解決し、コンプライアンス順守を支援します。
      詳しくはこちら
- 業種別
  - 業種別
    - 業種別
      詳しくはこちら
  - ヘルスケア
    - ヘルスケア
      
      ICT化や電子カルテの普及が進む中、閉じた環境での緩やかな境界防御ではなく、場面に応じたリスクマネジメントを実践していく必要があります。
      詳しくはこちら
  - 自治体
    - 自治体
      
      住民個人情報や企業経営情報などの保護に充分な対策がとられた行政業務と住民サービスが求められています。
      詳しくはこちら
  - 学校・教育委員会
    - 学校・教育委員会
      
      教育の現場におけるPCやインターネットの活用はさらなる普及が見込まれます。職員や生徒に安心安全な環境を提供しましょう。
      詳しくはこちら
  - 教育・大学
    - 教育・大学
      
      個人情報のみならず、先端技術情報など機微情報も保護する必要があります。ニューノーマル時代のICT環境セキュリティについてご紹介いたします。
      詳しくはこちら
  - 製造業
    - 製造業
      
      工場のIoT化が進むにつれてセキュリティリスクも高まっています。安全性や製品品質が重視される工場におけるセキュリティについてご紹介いたします。
      詳しくはこちら
  - 流通・小売り
    - 流通・小売り
      
      事業戦略にセキュリティ対策を組込むことが、消費者との信頼関係構築を行う上で重要です。
      詳しくはこちら
  - 金融
    - 金融
      
      Fintechをはじめとしたサービス領域の拡大とともに、適切な情報管理と安定したサービス提供がより重要性を増しています。
      詳しくはこちら
  - コネクテッドカー
    - コネクテッドカー
      
      自動車へのセキュリティ対策が求められています。車両からモバイルネットワーク、バックエンドに至る自動車のエコシステム全体を保護することが重要です。
      詳しくはこちら
  - 5G
    - 5G
      
      企業で5Gを活用した新たなネットワーク導入が進んでいます。5G/ローカル5Gシステムを保護するエンドツーエンドのサイバーセキュリティをご紹介します。
      詳しくはこちら
- 中小企業向けセキュリティ
  - 中小企業向けセキュリティ
    
    最新の技術と少ない人的リソースで、最新の脅威から防御
    詳しくはこちら
製品・ソリューション
- 統合サイバーセキュリティプラットフォーム
  - 統合サイバーセキュリティプラットフォーム
    - Trend Vision One
      
      統合サイバーセキュリティプラットフォーム
      
      EDRを進化させたXDRでIT環境、OT環境を保護
      詳しくはこちら
  - AI Companion
    - Trend Vision One Companion
      
      AIサイバーセキュリティアシスタント
      詳しくはこちら
- アタックサーフェスリスクマネジメント
  - アタックサーフェスリスクマネジメント
    
    潜在的なリスクの可視化によるインシデントの予防
    詳しくはこちら
- XDR：Extended Detection and Response
  - XDR：Extended Detection and Response
    
    脅威の全体像を可視化し、的確なインシデント対応を可能に
    詳しくはこちら
- クラウドセキュリティ
  - クラウドセキュリティ
    - クラウドセキュリティ
      
      オンプレミスからクラウドまでシームレスな保護を提供し、開発者・セキュリティチームをはじめ、企業にとって最も信頼できるクラウドセキュリティプラットフォーム
      詳しくはこちら
  - Workload Security:クラウドインスタンスを保護
    - Workload Security
      
      パフォーマンスを損なうことなく、データセンター、クラウド、コンテナを保護するクラウド型セキュリティ
      詳しくはこちら
  - Conformity:クラウドの設定状況を可視化
    - Conformity
      
      クラウドインフラの継続的なセキュリティ維持とコンプライアンス対応
      詳しくはこちら
  - Container Security:コンテナ環境を保護
    - Container Security
      
      コンテナイメージを自動的にスキャン、セキュアなCI/CDパイプラインを実現
      詳しくはこちら
  - File Storage Security:クラウドストレージのウイルス対策
    - File Storage Security
      
      クラウドファイル/オブジェクトストレージのためのセキュリティ
      詳しくはこちら
  - Network Security:クラウド環境を保護するネットワーク型IPS
    - Network Security
      
      マルチクラウド環境のための強力なネットワークレイヤのセキュリティ
      詳しくはこちら
  - Open Source Security:オープンソースの脆弱性を可視化
    - Open Source Security by Snyk
      
      オープンソースの脆弱性の可視化と監視
      詳しくはこちら
  - Deep Security:サーバを保護（オンプレミス型）
    - Trend Micro Deep Security™
      
      物理・仮想・クラウド環境のサーバ保護
      詳しくはこちら
- エンドポイントセキュリティ
  - エンドポイントセキュリティ
    - エンドポイントセキュリティ
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Vision One Endpoint Security（EPP+EDR）
    - Trend Vision One Endpoint Security（EPP+EDR）
      
      法人組織のエンドポイントを保護
      詳しくはこちら
  - Trend Micro Apex One（EPP）
    - Trend Micro Apex One（EPP）
      
      多層の機能によりエンドポイントを強固に保護
      詳しくはこちら
  - Worry-Free XDR（中小企業向けEPP+EDR）
    - Worry-Free XDR（中小企業向けEPP+EDR）
      
      最新の技術と少ない人的リソースで、最新の脅威から防御
      詳しくはこちら
  - モバイルセキュリティ
    - モバイルセキュリティ
      
      マルウェア、悪意のあるアプリケーションなどのモバイルへの脅威に対するオンプレミスおよびSaaSによる保護
      モバイルセキュリティ
  - エンドポイント製品一覧
    - エンドポイント製品一覧
      詳しくはこちら
- ネットワークセキュリティ
  - ネットワークセキュリティ
    - ネットワークセキュリティ
      
      ネットワークでの検出と対応によるXDRの実現
      詳しくはこちら
  - 侵入防御システム
    - 侵入防御システム
      
      ゼロデイ攻撃を始め、既知・未知の脆弱性からネットワークを守る
      詳しくはこちら
  - 標的型攻撃対策
    - 標的型攻撃対策
      
      ネットワークで不正に侵入、外部へ接続、横展開を試みる標的型攻撃の検知、インシデントレスポンスをサポート
      詳しくはこちら
  - ゼロトラスト/SWG/CASB
    - ゼロトラスト/SWG/CASB
      
      継続的なリスク評価で「信頼」を再定義し、デジタルトランスフォーメーションを保護
      詳しくはこちら
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
  - 5Gネットワークセキュリティ
    - 5Gネットワークセキュリティ
      
      エンタープライズ向けエンドツーエンドのセキュリティプラットフォーム
      5Gネットワークセキュリティ
- メールセキュリティ
  - メールセキュリティ
    - メールセキュリティ
      
      フィッシング、ランサムウェア、標的型攻撃を阻止
      詳しくはこちら
  - Trend Vision One Email and Collaboration Security
    - Trend Vision One™
      
      Trend Vision One Email and Collaboration Security
      
      Microsoft 365やGoogle Workspaceなどのメールサービスおよびコラボレーションアプリケーションに対するフィッシング攻撃、ランサムウェア攻撃、標的型攻撃を阻止
      詳しくはこちら
- OTセキュリティ
  - OTセキュリティ
    - OTセキュリティ
      
      サイバーセキュリティによりOT環境の整合性、安全性、稼働時間を維持
      OTセキュリティ
  - ICS/OTセキュリティ
    - ICS/OTセキュリティ
      
      工場などのOT環境の継続的な安定稼働を実現
      ICS/OTセキュリティ
  - 産業向けネットワークセキュリティ
    - 産業向けネットワークセキュリティ
      
      ICS (産業制御システム) に最適化したセキュリティにより、稼働に対する影響を最小限に抑えながら、ネットワーク上でサイバー攻撃から保護
      産業向けネットワークセキュリティ
- 製品一覧・体験版
  - 製品一覧・体験版
    詳しくはこちら
リサーチ
- リサーチ＆インサイト
  - リサーチ＆インサイト
    - リサーチ＆インサイト
      詳しくはこちら
  - セキュリティ情報サイト Security GO
    - セキュリティ情報サイト Security GO
      詳しくはこちら
  - セキュリティブログ
    - セキュリティブログ
      詳しくはこちら
  - Zero Day Initiatives (ZDI)
    - Zero Day Initiatives (ZDI)
      詳しくはこちら
  - リサーチペーパー
    - リサーチペーパー
      詳しくはこちら
  - Smart Protection Network
    - Smart Protection Network
      詳しくはこちら
  - サイバーリスクインデックス（CRI）
    - サイバーリスクインデックス（CRI）
      詳しくはこちら
サービス
- サービス
  - サービス
    - Trend Service One
      詳しくはこちら
  - Trend Service One
    - Trend Service One
      
      サイバー攻撃やインシデントの発生を24時間365日監視するMDRサービスや、インシデント発生時の対処など包括的なエキスパートサービスを提供
      詳しくはこちら
  - Trend Micro Managed XDR
    - Trend Micro Managed XDR
      
      トレンドマイクロのサイバーセキュリティ専門家がサイバー攻撃やインシデントの発生を24時間365日監視
      詳しくはこちら
  - インシデント対応サービス
    - インシデント対応サービス
      
      ランサムウェアや標的型攻撃等の被害に遭われた際、インシデント対応の専門家が一刻も早い業務復旧に向けた支援を実施
      詳しくはこちら
パートナー
- チャネルパートナー
  - チャネルパートナー
    - チャネルパートナー
      
      お客さまがお求めのトレンドマイクロ製品およびサービスを提供していただけるパートナーをお探しいただけます
      詳しくはこちら
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - MSPパートナー
    - MSPパートナー
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - CSPパートナー
    - CSPパートナー
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーをご紹介します
      詳しくはこちら
  - Marketplace Partner
    - Marketplace Partner
      
      Marketplaceを活用したビジネス展開のためのパートナープログラムをご紹介します
      詳しくはこちら
- アライアンスパートナー
  - アライアンスパートナーの概要
    
    トレンドマイクロは各社とのアライアンスに基づき、お客さまがパフォーマンスと価値を最適化できるよう最善の支援を提供します。
    詳しくはこちら
- パートナーをお探しのお客さまへ
  - パートナーをお探しのお客さまへ
    - パートナーをお探しのお客さまへ
  - リセラーパートナーを探す
    - リセラーパートナーを探す
      
      トレンドマイクロの製品・サービスを提供しているパートナーを掲載しています
      詳しくはこちら
  - 特色からパートナーを探す
    - 特色からパートナーを探す
      
      お客さまの課題解決やパートナーエコシステムにおける強み・サービス・事例など、パートナー各社の特色をご紹介します
      詳しくはこちら
  - MSPパートナーを探す
    - MSPパートナーを探す
      
      トレンドマイクロの製品に対応したマネージドセキュリティサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - CSPパートナーを探す
    - CSPパートナーを探す
      
      クラウド環境へトレンドマイクロ製品を使ったサービス展開を行うパートナーを掲載しています
      詳しくはこちら
  - トレンドマイクロ SaaS 製品取扱パートナーを探す
    - トレンドマイクロ SaaS 製品取扱パートナーを探す
      
      「Trend Micro マネージドサービス事業者ライセンス」を通じて、トレンドマイクロのクラウド型製品をパートナーが自社サービスと組み合わせて提供しているパートナーを掲載しています
      詳しくはこちら
- パートナーの皆さまへ
  - パートナーの皆さまへ
    - パートナーの皆さまへ
      
      トレンドマイクロのパートナー、ツール＆リソースをご紹介します
      詳しくはこちら
  - パートナーさま向けお役立ち情報
    - パートナーさま向けお役立ち情報
      
      セキュリティに関する勉強コンテンツや、販売から導入に役立つパートナーさま向け情報をご紹介します
      詳しくはこちら
  - パートナープログラムのご紹介
    - パートナープログラムのご紹介
      
      パートナーさま向け各支援プログラムをご紹介します
      詳しくはこちら
  - パートナーポータルのご紹介
    - パートナーポータルのご紹介
      
      登録制のWebサイト「パートナーポータル」ではパートナーさまの販売活動にご活用いただけるコンテンツをご用意しております。
      詳しくはこちら
  - 流通パートナー
    - 流通パートナー
      詳しくはこちら
  - セキュリティトレーニング
    - セキュリティトレーニング
      
      セキュリティエキスパートによるトレーニングプログラムをご紹介します
      詳しくはこちら
会社概要
- Why Trend Micro
  - Why Trend Micro
    - Why Trend Micro
      詳しくはこちら
  - トレンドマイクロの特長
    - トレンドマイクロの特長
      詳しくはこちら
  - 導入事例
    - 導入事例
      詳しくはこちら
  - コアテクノロジー
    - コアテクノロジー
      詳しくはこちら
  - 業界における評価
    - 業界における評価
      詳しくはこちら
- 会社概要
  - 会社概要
    - 会社概要
      詳しくはこちら
  - セキュリティへの取り組み
    - セキュリティへの取り組み
      詳しくはこちら
  - 企業理念・沿革
    - 企業理念・沿革
      詳しくはこちら
  - サイバーセキュリティ・イノベーション研究所
    - サイバーセキュリティ・イノベーション研究所
      サイバーセキュリティ・イノベーション研究所
  - ダイバーシティ・エクイティ＆インクルージョン
    - ダイバーシティ・エクイティ＆インクルージョン
      詳しくはこちら
  - Sustainability & CSR
    - Sustainability & CSR
      詳しくはこちら
  - エグゼクティブ一覧
    - エグゼクティブ一覧
      詳しくはこちら
  - 子ども・保護者向けセキュリティ教育
    - 子ども・保護者向けセキュリティ教育
      詳しくはこちら
  - NEOMマクラーレンフォーミュラE
    - NEOMマクラーレンフォーミュラE
      詳しくはこちら
  - Privacy and Legal
    - Privacy and Legal
      詳しくはこちら
  - トランスペアレンシーセンター
    - トランスペアレンシーセンター
      詳しくはこちら
- ニュース、投資家向け情報、採用情報
  - ニュース、投資家向け情報、採用情報
    - ニュース、投資家向け情報、採用情報
      詳しくはこちら
  - プレスリリース
    - プレスリリース
      詳しくはこちら
  - ニュース＆トピックス
    - ニュース＆トピックス
      詳しくはこちら
  - 投資家向け情報
    - 投資家向け情報
      詳しくはこちら
  - 採用情報
    - 採用情報
      詳しくはこちら
  - イベント・セミナー
    - イベント・セミナー
      詳しくはこちら
  - ウェビナー
    - ウェビナー
      詳しくはこちら
  - お知らせ
    - お知らせ
      詳しくはこちら

個人のお客さまはこちら

お問い合わせ

サポート

リソース

ログイン

arrow_back

search close

アタックサーフェスマネジメント(ASM)

アタックサーフェスマネジメント(ASM)とは

アタックサーフェスマネジメント（ASM）とは、攻撃者の視点からサイバー攻撃が行われる可能性のある組織のアタックサーフェス（攻撃対象領域）を把握し、セキュリティを強化する取り組みや技術です。アタックサーフェスに対するリスクの把握、評価、軽減を継続的に実践するアタックサーフェスリスクマネジメント（ASRM）を取り入れることで、組織の事業継続を脅かすインシデントの発生を抑えます。

アタックサーフェスマネジメント（ASM）の概要
ASMが求められる理由
アタックサーフェスリスクマネジメント（ASRM）とは
ASRMとXDRの関係性
まとめ
ウェビナーによる解説
ASMについての関連情報

アタックサーフェスマネジメント(ASM)の概要

アタックサーフェスマネジメント（Attack Surface Management: ASM）を理解するうえで、はじめにアタックサーフェス（攻撃対象領域）が何を意味するのか知っておく必要があります。

アタックサーフェス（攻撃対象領域）の定義

アタックサーフェスは、アメリカ国立標準技術研究所（NIST: National Institute of Standards and Technology）が定義している通り、攻撃者の視点からサイバー攻撃が行われる可能性があるデジタル資産やサービス、環境を指します。具体的には、クライアント端末、モバイル端末、IoTデバイス、サーバ、VPN機器といったネットワーク機器などに加えて、ソフトウェア、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。

アタックサーフェスについて、外部に公開されているデジタル資産をExternal Attack Surface、組織のネットワーク内部に存在するデジタル資産をInternal Attack Surfaceと分類されることがあります。

従来の対策では、侵入経路/入口防御の観点から外部公開されているアタックサーフェスのみが重視される傾向にありました。しかし現在では、後述のとおり、ビジネス環境の変化やサイバー攻撃の高度化により、攻撃者の組織内への侵入を前提とした対策が当然になっています。このため、外部公開されているデジタル資産だけでなく、攻撃者に悪用されうる内部のデジタル資産をすべて含めて、アタックサーフェスとして取り扱う必要があります。

ASMの主な機能

アタックサーフェスマネジメントは、組織において守るべきデジタル資産を可視化したうえで、継続的な監視を行うことで、アタックサーフェスが時間の経過と共にどのように変化しているのか把握し、セキュリティを強化する取り組みです。一方で、日々変化する組織のアタックサーフェスを手動で管理することは時間や労力が掛かるため現実的ではありません。そのため、持続可能なアタックサーフェスマネジメントの実現には「自動化」によって一連のプロセスをサポートする技術が重要です。

アタックサーフェスマネジメントをサポートする技術では主に以下のような機能を提供します。

アタックサーフェスの可視化
組織において攻撃対象となりえるデジタル資産を監視することで、その数や種類（デバイス、アカウント、クラウドサービスなど）、関連情報（OSバージョン、ホスト名など）の最新の状態を継続的に収集して可視化します。

アタックサーフェスの要因の把握
デジタル資産に存在する脆弱性やセキュリティ設定の不備、外部に公開されているかなど攻撃対象となりえる要因を検出して可視化します。

なお、外部に公開されているデジタル資産を対象としたアタックサーフェスマネジメントについては、External Attack Surface Management (EASM)と紹介されることもあり、アタックサーフェスマネジメント=EASMと取り扱っている機関もあります。経済産業省からも、外部からアクセス可能なデジタル資産を対象としたアタックサーフェスマネジメントの導入方法のガイダンスが公開されています。
「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」（2023年5月、経済産業省）

ここでは前述のアタックサーフェスの定義に則り、サイバー攻撃者に悪用され得るすべてのデジタル資産を、アタックサーフェスマネジメントの対象とします。

ASMが求められる理由

アタックサーフェスマネジメントが組織に求められる理由は主に2つあります。

守るべき自組織のIT環境の変化
デジタルトランスフォーメーションの推進によるビジネス環境の変化と、リモートワークといった働き方の変化により、あらゆる業務のデジタル化が近年急激に進んでいます。それに伴い、VPN機器やクラウドサービスの利用、IoT機器の活用など新たな技術の導入によってIT環境はこれまで以上に複雑化しています。
一方で、多くの組織では急激に変化し、複雑化した自組織のIT環境とそのリスクの把握が追い付かず、セキュリティ対策が後回しになっています。その結果、サイバー犯罪者の視点からすると、攻撃を行う対象が拡大しているということになります。

サイバー攻撃手法の高度化
サイバー攻撃や犯罪などの手法は、攻撃の成功率を上げるために巧妙化されています。従来のサイバー攻撃は不特定多数に対してメールなどを介して不正プログラムを送り付ける「ばらまき型」の攻撃が主流でした。しかし、現代のサイバー攻撃は、VPN・RDPの脆弱性や窃取した認証情報を悪用して標的組織のネットワークに侵入したうえで、権限昇格や横展開、情報窃取などの内部活動を行う「標的型」といった高度な攻撃が増加しています。
そのため組織は、外部に公開されているデジタル資産だけではなく、組織内部のデジタル資産が攻撃されることを考慮したセキュリティ対策が必要になります。

このように防御側のIT環境が複雑化したことと、攻撃側の攻撃手法が巧妙化したことにより、各組織はサイバー攻撃が事業停止に繋がらないように、常日頃からアタックサーフェスの状態を把握し、攻撃が行われる可能性や万が一攻撃が行われた際の事業への影響を軽減するための対策を行う必要があります。つまり、インシデントが発生してからではなく、事前にそのリスクを抑制する取り組みが求められています。

一方でアタックサーフェスの把握やそのリスクの継続的な管理は、主に以下の3つの課題から実践するのが難しいと多くの組織が感じていることから、アタックサーフェスマネジメントをサポートする技術が求められています。

アタックサーフェスのリスクを定量化するのが難しい
継続的に管理するためのリソースが足りない
アタックサーフェスやリスクの可視性が限られている

図：アタックサーフェスの管理における上位3つの課題

「デジタル環境のアタックサーフェス（攻撃対象領域）を理解する」（2022年、トレンドマイクロ）

アタックサーフェスリスクマネジメント(ASRM)とは

アタックサーフェスマネジメントを実践するうえで、特に重要になるのが、自組織のアタックサーフェスを把握した後の、そのアタックサーフェスに対する「リスクマネジメント」の取り組みになります。アタックサーフェスマネジメントの技術のなかには、その提供機能がアタックサーフェスの把握のみに留まり、リスクの評価や軽減が含まれない場合があります。
経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」において、サイバーセキュリティでは経営リスクの一環としてリスクマネジメントの実践が求められています。そのため、トレンドマイクロでは、リスクという要素がサイバーセキュリティにおいて特に重要であることから、リスクマネジメントを加味したアタックサーフェスマネジメントのことを、アタックサーフェスリスクマネジメント（Attack Surface Risk Management: ASRM）という用語で取り扱います。

「サイバーセキュリティ経営ガイドラインと支援ツール」（2023年5月、経済産業省）

ASRMの主な機能

アタックサーフェスリスクマネジメントでは、前述のアタックサーフェスマネジメントの機能に加えて、リスクの「把握」、「評価」、「軽減」の機能を提供します。

アタックサーフェスにおけるリスクの把握
攻撃対象となりえるデジタル資産の数や種類（デバイス、アカウント、クラウドサービスなど）、関連情報（OSバージョン、ホスト名など）に加えて、アカウントなどの認証情報の漏えいや、脆弱性、不審な挙動、攻撃の痕跡などリスクの要因となる情報を収集します。

アタックサーフェスにおけるリスクの評価
収集された各アタックサーフェスにおけるリスクの要因となる情報をもとに、攻撃が行われる「可能性」と攻撃が行われた際の「影響」からリスクスコアを定量的に算出することでリスクの重大度を評価します。例えば、デバイスのリスクを評価する場合、CVSS（共通脆弱性評価システム）スコアが高い脆弱性が存在し、挙動監視や機械学習といったセキュリティ設定が有効化されていないデバイスは、リスクが高く算出されます。

アタックサーフェスにおけるリスクの軽減
リスク評価されたアタックサーフェスに対して、組織として許容可能なリスクレベルまで低減するために、エンドポイントの隔離や不審な通信先のブロックなどリスク軽減策を実行します。

アメリカ国立標準技術研究所のNISTではNIST SP800-30「Guide for Conducting Risk Assessments」が公開されており、リスク評価の方法について体系的にまとめられています。

組織においてアタックサーフェスリスクマネジメントを導入する際には、アタックサーフェスのリスクの要因となる参考情報を網羅的に収集できること、確立された方法でリスクを定量的に評価すること、そして、リスクに対する軽減策を実行するといったサイクルを継続的に実現できる技術の採用が重要になります。

図：アタックサーフェスリスクマネジメントによる自組織のリスクレベルの可視化

ASRMとXDRの関係性

アタックサーフェスリスクマネジメントでは、平時からサイバー攻撃や侵入の可能性を低減することで、事業継続に影響する重大なインシデントの発生を抑制します。一方で、昨今のサイバー攻撃の高度化により、侵入を前提とした対策が推奨されており、XDR(Extended Detection and Response)といった技術が脅威の検知や対応をサポートします。アタックサーフェスリスクマネジメントは、インシデント発生前のプロアクティブな対策であり、XDRはインシデント発生後のリアクティブな対策という位置づけになりますが、この2つは密接に連携すべき技術です。

例えば、平時からアタックサーフェスリスクマネジメントによりリスクを監視し、インシデントの発生数を減少することで、結果として、XDRを利用したインシデントに対するリアクティブな対応負荷の軽減に繋がります。また、XDRで検出した攻撃の痕跡の情報を平時からリスクの評価対象としてアタックサーフェスリスクマネジメントに共有しておくことで、より精度の高いリスクスコアの算出に寄与します。

このように、アタックサーフェスリスクマネジメントとXDRは別の技術ですが、相互に情報を共有して補完しあうことで、インシデントの減少や対応負荷の軽減に繋がるといった相乗効果を持った関係性となるため、2つの技術の相互補完が実現できるプラットフォームの存在が重要になります。

図：アタックサーフェスリスクマネジメント(ASRM)とXDRの関係性

まとめ

サイバー空間における脅威が年々増加し巧妙化していることに加えて、組織のIT環境が複雑化していることで、アタックサーフェスは今後も拡大していくことが考えられます。そのため、組織のセキュリティ戦略において、アタックサーフェスマネジメントは重要な一角を占める活動となります。また、アタックサーフェスに対するリスクの「把握」、「評価」、「軽減」といったマネジメントのサイクルを継続的に実行するアタックサーフェスリスクマネジメントを採用することで、事業継続を脅かす重大なインシデントの発生を事前に抑えることに繋がります。