2.3 ASMや同カテゴリに類されることが多いツールやサービス #
2.1節のASMの定義のみでは、具体的なIT資産の発見(検出)の方法や継続的な評価プロセスは定義されていません。
そのため、ASMツールやASMサービスは、それぞれで資産の発見(検出)のための調査や情報取得方法、取得した情報の管理アプローチを持っています。
例えば、資産情報の取得を例にしても、Web上の資産を探索する、情報連携のためのエージェントを管理対象の資産に導入する、脆弱性スキャンと連携するなど、複数のアプローチがあります。そのため、検討しているASMツールやサービスがどのような機能を備えているか、どのような使い方を意図しているかを確認し、自組織に適したツールやサービスを採用する必要があります。
以下にASMや同じカテゴリに類されることが多いツールやサービスの主な特徴を記載します。
| 種別 | 主な利用目的 | 概要 |
|---|---|---|
| EASM(External Attack Surface Management) | インターネットからアクセス可能なIT資産の探索(未知の資産の発見も含む)、脆弱性の調査 | インターネット上を探索し、自組織に関連したIT資産を発見、セキュリティチェックを実施し、リスクを評価する。 |
| CAASM(Cyber Asset Attack Surface Management) | IT資産の脆弱性や設定管理 | クラウドサービスプロバイダのAPIや既存のセキュリティ製品の外部連携機能などを活用し、IT資産および利用製品、設定の情報を取得し、リスクを評価する。 |
| DRPS(Digital Risk Protection Service) | 外部からの脅威を検知・分析し、デジタルリスクを管理 | 自組織を狙う脅威の可視化、ブランド保護、データ漏洩検知を行い、デジタル資産のリスクを評価する。 |
| TPRM(Third Party Risk Management) | ビジネス関係にある組織から生じるリスクの特定・評価、対応・管理 | 外部のサードパーティ企業との関係から生じるリスクを特定、評価、管理し、サプライチェーン全体のリスクを評価する。 |
| セキュリティリスクレーティング, セキュリティスコアリング | 組織のセキュリティ態勢を客観的にスコアリングし、リスクの高い領域の特定 | 外部から観測可能な情報を非侵入的に収集・分析することで、組織のセキュリティ状態を定量的に評価し、組織のサイバーセキュリティ状況をスコア化する。 |
注意
上記表は、ASMというカテゴリを全てを網羅する目的ではなく、“ASMっぽい"ツールやサービスの特徴を知っていただくために複数の種別を記載しています。
そのため、各ツールやサービスの目立った特徴に注目しています。実際に提供されているツールやサービスは、複数の特徴を兼ね備えていたり、より広範な機能を備えていることもあります。
(定義の誤りや加えるべきASMの種別がありましたらお知らせください。)