--- title: 見えない情報を守るASMの事例 tags: #セキュリティ #脆弱性管理 #asm author: [はるきち](https://image.docswell.com/user/7847837919) site: [Docswell](https://www.docswell.com/) thumbnail: https://bcdn.docswell.com/page/G7WG1RN8E2.jpg?width=480 description: Claude CodeセキュリティLT会~全エンジニアが知っておきたいセキュリティの話~での発表資料です。 https://supporterz-seminar.connpass.com/event/391338/ published: May 21, 26 canonical: https://image.docswell.com/s/7847837919/ZR86XW-2026-05-21-114533 --- # Page. 1 ![Page Image](https://bcdn.docswell.com/page/G7WG1RN8E2.jpg) 見えない情報を守る ASMの事例 サポーターズ CoLabセキュリティ LT会 ~全エンジニアが知っておきたいセキュリティの話~ 2026/05/21 幸田将司 # Page. 2 ![Page Image](https://bcdn.docswell.com/page/4JZLPR39E3.jpg) Who am I? 幸⽥将司(こうだまさし) セキュリティのフリーランスしてます 最近やったこと Join: 執筆: ● 株式会社BalaenaTech 代表取締役 ● 脆弱性診断⼠のキャリアデザインガイド(2025年2⽉) ● 株式会社Levii ● ASM導⼊検討を進めるためのガイダンス(2024年11⽉) ● SecuriST(R)認定Webアプリケーション脆弱性診断⼠試験委 ● 脆弱性トリアージガイドライン作成の⼿引き(2024年5⽉) 員 ● SecuriST(R)認定ネットワーク脆弱性診断⼠試験委員 ● CEH/CND認定インストラクター ● ISOG-J (⽇本セキュリティオペレーション事業者協議会) …etc 書籍: ● セキュリティエンジニアの知識地図(技術評論社) # Page. 3 ![Page Image](https://bcdn.docswell.com/page/YE6WMRXDEV.jpg) 1. ASMとは何か 攻撃者から見える自社の窓口を把握する # Page. 4 ![Page Image](https://bcdn.docswell.com/page/GE5MZ8X8E4.jpg) ASMAttack Surface Management)とはなんぞや Attack Surface = 攻撃対象 これからのセキュリティの考え方 インターネットからアクセス可能な自社の IT資産を継続 「守る側」の台帳ベースの管理から、 的に把握し、そこにある脆弱性やリスクを管理する手法 「攻める側」に見えている現実 ベースの管理へシフ です。 トする。 何を管理する ? → 自社ドメインに紐づくすべての資産 → クラウド、SaaS、放置されたサーバー → 従業員が持ち込んだ端末(シャドーIT # Page. 5 ![Page Image](https://bcdn.docswell.com/page/9729RKXVJR.jpg) ASMで何をするの 外部資産の発見 リスクの評価 継続的な監視 組織が把握していない「シャドー 発見した資産の脆弱性/設定ミスが 一度の診断で終わらせず、 IT」や、忘れ去られた古いサイト ないかを確認する 新しい資産や変更を24時間体制 を、攻撃者と同じ手法で自動的に で監視。 見つけ出す (脆弱性に追いつけないよね) # Page. 6 ![Page Image](https://bcdn.docswell.com/page/DJY4DN8Q7M.jpg) ASMツールを使用した基本サイクル(棚卸しと見回り) 発見 所有者確認 リスク評価 対応 継続監視 全資産を自動探索 誰の持ち物か特定 脆弱性の危険度を判定 修正または閉鎖 変化を常にキャッチ 出典:経産省 ASM(Attack Surface Management)導入ガイダンス # Page. 7 ![Page Image](https://bcdn.docswell.com/page/V7NY6XQ2E8.jpg) 2. なぜASMが必要なのか 管理の死角が招く、現実的な脅威 # Page. 8 ![Page Image](https://bcdn.docswell.com/page/YJ9PL8DD73.jpg) 「見えない資産」のリスク 放置された入り口が多すぎる DXやクラウド利用の加速により、情報システム部門が把握し きれない資産が急増。 → 検証環境 : 本番より弱い設定で放置/協力会社向けの入口など → キャンペーン用特設サイト : 終了後も公開継続 → 古いVPN機器: 修正パッチ未適用で稼働 → 古いOA機器: 複合機など 人間の管理には限界がある ...。 # Page. 9 ![Page Image](https://bcdn.docswell.com/page/GJ8DX835JD.jpg) 情報資産の調査方法 WHOISからわかる情報 (一例) ネットワークブロックやAS番号 管理者連絡窓口: 担当者の氏名やメールアドレス SHODANなどで 開いているポートやサービスが 検索可能 出典:Shodan / © Shodan, LLC. # Page. 10 ![Page Image](https://bcdn.docswell.com/page/LJLM8RV3ER.jpg) まとめ:これからの防御スタイルに ASMを 「守る側」の台帳ベースの管理から、 「攻める側」に見えている資産ベースの管 理へシフトする。 ASMは単なるツール導入で終わりではなく、 「攻撃者からどう見えているか」を常に意識する組織文化の醸成を 目指す必要がある # Page. 11 ![Page Image](https://bcdn.docswell.com/page/47MY6RGM7W.jpg) Thank You ご清聴ありがとうございました # Page. 12 ![Page Image](https://bcdn.docswell.com/page/P7R9PRZLE9.jpg) 参考情報 ISOGJ ASM導入検討を進めるためのガイダンス(基礎編) https://wg1.isog-j.org/ASMGuidance/ IPA 「ASM診断および事例集作成業務」報告書について https://www.ipa.go.jp/security/reports/sme/asm-jirei.html