4.2 ASMツールの注意点 #
ASMツールは、組織のIT資産(特にアタックサーフェス)の洗い出しや管理をする上で有用ですが、ツールの機能や導入・運用に際しては注意が必要な点もあります。
ASMツールの機能に関する注意点 #
IT資産の誤検出 #
ASMツールでは、組織が把握しきれていないものも含めてインターネットに公開されているIT資産を自動的に収集できますが、その検出結果には誤検出が含まれる可能性があります。
誤検出の具体例としては、現在は存在していないIT資産や、自組織とは関係のない全く別の組織のIT資産などが該当します。
ASMツールは発見されたIT資産に対してリスクの検出・評価も行うため、誤検出されたIT資産がスキャンの対象とならないように注意する必要があります。
そのためには、ASMツールでのIT資産の検出結果を鵜吞みにせず、自組織のものかどうかを確認する必要があります。(自組織に関連するIT資産であっても、管理をアウトソースしている場合などスキャン対象としてよいか確認が必要なものもあります。)
IT資産の検出方法 #
ASMツールには、前節「IT資産の発見」で紹介したIT資産発見の起点により、検出精度(検出結果)に違いがあります。
例えば、ドメイン名を登録して起点とする場合、探索元が既に自組織の資産(自組織のドメイン)であることが分かっているため、同じドメイン上のIT資産はほぼ自組織のものであると言えます。他方、組織名やブランド名を登録して起点とする場合、探索過程で類似の組織やブランドの資産が混在することが想定されます。検出結果に対応するための労力を考えれば、前者の方が誤検出が少なく採用しやすいと考えられますが、発見される「未知のIT資産」の量は後者の方が多く、リスクの低減に寄与しやすいと考えられます。そのため、ASMツールの選定時にはどのような探索プロセスが好ましいのかについても検討することをお勧めします。
リスク評価(スキャン)の実施タイミング #
前項で、ASMツールにおけるIT資産の誤検出に関する注意点を説明し、ASMツールで検出されたIT資産の結果を確認することが重要と述べました。この確認はリスクの検出・評価のスキャンを行う前に実施すべきですが、ASMツールによってはIT資産の検出後に自動的にスキャンまで実施してしまうものも存在するため注意が必要です。
特に海外製のASMツールでは、セキュリティに対する考え方や法律などの違いから、アグレッシブな動作をするツールが少なくありません。導入前に、利用するASMツールのスキャンの実施タイミングやスキャン内容などの、挙動・影響範囲に関する仕様をよく確認しておきましょう。
リスク評価(スキャン内容)と正確性 #
2.4節「ASMと脆弱性診断の違い」でも述べたように、ASMツールによるリスク評価のみでは、全ての脆弱性を特定できません。そのため、ASMツールによる脆弱性検出やリスク評価の限界を理解し、脆弱性診断や他のセキュリティ対策と併用することも検討しましょう。
また、一部のASMツールでは、脆弱性検出・評価の正確性を上げるために、脆弱性診断と同様の疑似攻撃を含むスキャンを実行するツールもあります。このようなスキャン機能は、対象のIT資産に負荷をかけたり、疑似攻撃による副作用が発生したりする可能性があるため、スキャン内容とその影響についても把握・理解したうえで活用することが重要です。また、対象に影響を与えるようなスキャンを実施する場合は、脆弱性診断と近しいと考えて、先述の「誤検出」などの注意点も考慮し、自組織のIT資産であることの確認や事前調整を行った上での利用をお勧めします。
導入・運用に際しての注意点 #
料金体系の違い #
ASMツールによって料金体系が異なるため検討時の確認が重要です。
ツールによっては、自組織やグループ企業だけでなく外部の企業も含めて管理できるものもあります。以下に代表的な料金体系を紹介します。
課金対象 | 説明 |
---|---|
組織規模(従業員数や売上) | ASMツールを利用する組織の規模(従業員数や売上)に基づく料金体系です。広範囲の外部攻撃面を管理したい場合には他の料金体系よりもスケールメリットがあります。 |
企業数 | 管理対象とする企業数に基づく料金体系です。自組織やグループ企業だけでなく外部の企業も含めた管理が可能な場合もあります。 |
ドメイン数 | 組織が管理するドメイン数に基づく料金体系です。課金対象となるドメインは、FQDNに基づく場合もあれば、サブドメインを含めないドメイン(厳密には、Zone Apex(APEXドメイン)もしくはeTLD+1)に基づく場合もあります。 |
機能制限 | スキャンの回数やAPIの利用回数などの機能制限数に基づいた料金体系です。機能利用の上限に達した場合、上位プランへのアップグレードが求められることや、利用したい回数分だけ料金を支払うクレジット方式が採用されているケースがあります。 |
運用計画の検討とトライアル #
本ドキュメントで解説してきたようにASMはプロセスであり、ASMツールを導入して終わりではありません。ASMツールではその特性上、未把握のIT資産やリスク情報が大量に検出される可能性があり、運用負荷は高くなりがちです。導入前にASMで解決したい課題とその運用を検討し、十分なリソースを確保することが重要です。
また、ASMツールによって検出された情報と、既存の情報やシステムとの連携についても事前に想定しておく必要があります。導入するASMツールの管理機能を利用するだけでなく、既存の情報をASMツール側に統合したり、逆に既存のセキュリティソリューションにASMツールの情報を連携させたりといった活用が考えられます。
なお、ほとんどのASMツールは購入前にトライアル(試用)することが可能です。導入前に、ドキュメントや仕様書による机上検証だけでなく実際に試してみることで、具体的な運用上の負担や影響を事前に確認することができます。本節で説明した注意点も踏まえながら、実際に試すことを推奨します。