ASM(Attack Surface Management)とは、サイバー攻撃の対象となりうるIT資産を発見し、継続的にリスクの探索・評価を実施する活動およびサービスです。ASMを実現するには、攻撃者目線に立ち、自社で未把握のIT資産を含め、自社が公開しているIT環境のアタックサーフェスを網羅的に把握することが重要です。
自社にて申告ベースでIT資産を管理している場合、申告漏れや誤認などが発生するリスクがあります。ASMにより攻撃者視点で実態ベースにIT資産を探索・発見し、従来のIT資産管理と併用することで、精度向上やリスク管理の高度化が実現できます。ASM活動では主に以下の3つのステップを継続的に実施・管理していく取り組みとなります。
2023年5月には経済産業省から「ASM導入ガイダンス」が発刊され、グローバルだけでなく日本においてもASMの重要性の高まりが伺えます。近年のサイバー攻撃による影響はますます増⼤しており、⾃組織をサイバー攻撃から守るためには、効果的なASMの活用が必要となります。