2.1 ASMとは #
「ASMとは」を記載する上で重要となるのが、ASMの解釈や定義です。しかし、“ASM"も管理対象である"AS(アタックサーフェス)“も様々なドキュメントで様々に表現されており定義が統一されていません。本ドキュメントでは新しい定義の創出による混乱を防ぐために、ASMの定義を「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~(経済産業省)」と同意として記載を進めます。
ASMの定義 #
組織の外部(インターネット)からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス
上記は管理対象であるAS(アタックサーフェス)を「組織の外部(インターネット)からアクセス可能なIT資産」と定義しているための記載です。本ドキュメントにおいても、「1.2 ASMの必要性」でご紹介したASMに注目が集まった背景(課題)から、ASの定義を経済産業省のドキュメントと同様に「組織の外部(インターネット)からアクセス可能なIT資産」とします。
また、さらに定義の理解を難しくしているのが「IT資産」です。管理対象を「組織の外部からアクセス可能なIT資産」とそのまま捉えると、外部に露出している情報資産(従業員の情報、メールアドレス等)や詳細なシステム構成情報も管理対象に含まれる(含めるべき)という解釈も可能となります。本ドキュメントでは理解を進めやすくするために、IT資産の中でも、システムやサーバー、その構成情報やIPアドレス等を管理対象として想定しています。
本ドキュメントでのASM関連用語の定義は以下のとおりとしています。
本ドキュメントでのASM関連用語の定義 #
| 用語 | 定義 |
|---|---|
| AS、アタックサーフェス | 組織の外部(インターネット)からアクセス可能な IT 資産(システムやサーバー、IPアドレス等) |
| ASM | 組織の外部(インターネット)からアクセス可能な IT 資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス |
| ASMツール | ASMのプロセスを実現もしくは補助するためのツール |
| ASMサービス | ASMのプロセスを実現もしくは補助するために外部組織(セキュリティベンダ等)から提供を受けるサービス |