2.3 ASMや同カテゴリに類されることが多いツールやサービス

2.3 ASMや同カテゴリに類されることが多いツールやサービス #

2.1節のASMの定義のみでは、具体的なIT資産の発見(検出)の方法や継続的な評価プロセスは定義されていません。
そのため、ASMツールやASMサービスは、それぞれで資産の発見(検出)のための調査や情報取得方法、取得した情報の管理アプローチを持っています。

例えば、資産情報の取得を例にしても、Web上の資産を探索する、情報連携のためのエージェントを管理対象の資産に導入する、脆弱性スキャンと連携するなど、複数のアプローチがあります。そのため、検討しているASMツールやサービスがどのような機能を備えているか、どのような使い方を意図しているかを確認し、自組織に適したツールやサービスを採用する必要があります。

以下にASMや同じカテゴリに類されることが多いツールやサービスの主な特徴を記載します。

種別主な利用目的概要
EASM(External Attack Surface Management)インターネットからアクセス可能なIT資産の探索(未知の資産の発見も含む)、脆弱性の調査インターネット上を探索し、自組織に関連したIT資産を発見、セキュリティチェックを実施し、リスクを評価する。
CAASM(Cyber Asset Attack Surface Management)IT資産の脆弱性や設定管理クラウドサービスプロバイダのAPIや既存のセキュリティ製品の外部連携機能などを活用し、IT資産および利用製品、設定の情報を取得し、リスクを評価する。
DRPS(Digital Risk Protection Service)外部からの脅威を検知・分析し、デジタルリスクを管理自組織を狙う脅威の可視化、ブランド保護、データ漏洩検知を行い、デジタル資産のリスクを評価する。
TPRM(Third Party Risk Management)ビジネス関係にある組織から生じるリスクの特定・評価、対応・管理外部のサードパーティ企業との関係から生じるリスクを特定、評価、管理し、サプライチェーン全体のリスクを評価する。
セキュリティリスクレーティング, セキュリティスコアリング組織のセキュリティ態勢を客観的にスコアリングし、リスクの高い領域の特定外部から観測可能な情報を非侵入的に収集・分析することで、組織のセキュリティ状態を定量的に評価し、組織のサイバーセキュリティ状況をスコア化する。

注意
上記表は、ASMというカテゴリを全てを網羅する目的ではなく、“ASMっぽい"ツールやサービスの特徴を知っていただくために複数の種別を記載しています。
そのため、各ツールやサービスの際立った特徴に注目しています。実際に提供されているツールやサービスは、複数の特徴を兼ね備えていたり、より広範な機能を備えていることもあります。
(定義の誤りや加えるべきASMの種別がありましたらお知らせください。)