見えない情報を守るASMの事例

見えない情報を守る ASMの事例 サポーターズ CoLabセキュリティ LT会 ～全エンジニアが知っておきたいセキュリティの話～ 2026/05/21 幸田将司

Who am I? 幸⽥将司(こうだまさし) セキュリティのフリーランスしてます 最近やったこと Join: 執筆: ● 株式会社BalaenaTech 代表取締役 ● 脆弱性診断⼠のキャリアデザインガイド(2025年2⽉) ● 株式会社Levii ● ASM導⼊検討を進めるためのガイダンス(2024年11⽉) ● SecuriST(R)認定Webアプリケーション脆弱性診断⼠試験委 ● 脆弱性トリアージガイドライン作成の⼿引き(2024年5⽉) 員 ● SecuriST(R)認定ネットワーク脆弱性診断⼠試験委員 ● CEH/CND認定インストラクター ● ISOG-J (⽇本セキュリティオペレーション事業者協議会) …etc 書籍: ● セキュリティエンジニアの知識地図(技術評論社)

1. ASMとは何か 攻撃者から見える自社の窓口を把握する

ASMAttack Surface Management)とはなんぞや Attack Surface = 攻撃対象 これからのセキュリティの考え方 インターネットからアクセス可能な自社の IT資産を継続 「守る側」の台帳ベースの管理から、 的に把握し、そこにある脆弱性やリスクを管理する手法 「攻める側」に見えている現実 ベースの管理へシフ です。 トする。 何を管理する ? → 自社ドメインに紐づくすべての資産 → クラウド、SaaS、放置されたサーバー → 従業員が持ち込んだ端末(シャドーIT

ASMで何をするの 外部資産の発見 リスクの評価 継続的な監視 組織が把握していない「シャドー 発見した資産の脆弱性/設定ミスが 一度の診断で終わらせず、 IT」や、忘れ去られた古いサイト ないかを確認する 新しい資産や変更を24時間体制 を、攻撃者と同じ手法で自動的に で監視。 見つけ出す (脆弱性に追いつけないよね)

ASMツールを使用した基本サイクル（棚卸しと見回り） 発見 所有者確認 リスク評価 対応 継続監視 全資産を自動探索 誰の持ち物か特定 脆弱性の危険度を判定 修正または閉鎖 変化を常にキャッチ 出典：経産省 ASM（Attack Surface Management）導入ガイダンス

2. なぜASMが必要なのか 管理の死角が招く、現実的な脅威

「見えない資産」のリスク 放置された入り口が多すぎる DXやクラウド利用の加速により、情報システム部門が把握し きれない資産が急増。 → 検証環境 : 本番より弱い設定で放置/協力会社向けの入口など → キャンペーン用特設サイト : 終了後も公開継続 → 古いVPN機器: 修正パッチ未適用で稼働 → 古いOA機器: 複合機など 人間の管理には限界がある ...。

情報資産の調査方法 WHOISからわかる情報 (一例) ネットワークブロックやAS番号 管理者連絡窓口: 担当者の氏名やメールアドレス SHODANなどで 開いているポートやサービスが 検索可能 出典：Shodan / © Shodan, LLC.

まとめ：これからの防御スタイルに ASMを 「守る側」の台帳ベースの管理から、 「攻める側」に見えている資産ベースの管 理へシフトする。 ASMは単なるツール導入で終わりではなく、 「攻撃者からどう見えているか」を常に意識する組織文化の醸成を 目指す必要がある

Thank You ご清聴ありがとうございました

参考情報 ISOGJ ASM導入検討を進めるためのガイダンス（基礎編） https://wg1.isog-j.org/ASMGuidance/ IPA 「ASM診断および事例集作成業務」報告書について https://www.ipa.go.jp/security/reports/sme/asm-jirei.html

• https://wg1.isog-j.org/ASMGuidance/
• https://www.ipa.go.jp/security/reports/sme/asm-jirei.html