ASMツールは脆弱性診断の代わりになる?

ASMツールは脆弱性診断の代わりになる? #

結論から述べると、ASMツールは脆弱性診断の代わりにはならず、その逆に脆弱性診断もASMツールの代わりにはなりません。

ASMツールと脆弱性診断の違いを簡単に言い表すと、一般的にASMツールは「広く浅く早く」、脆弱性診断は「狭く深く正確に」脆弱性の検出や評価を行うという違いがあります。
両者の特徴と違いを理解し、組み合わせて利用することで高い効果を得ることができます。
本コラムでは、ASMツールと脆弱性診断の特徴と違いについて解説します。

補足
本コラムにおける「脆弱性診断」は、専門家による手動診断サービスを想定して解説します。

以下の表は、ASMツールと脆弱性診断の一般的な特徴や違いを簡潔にまとめたものです。

ASMツール脆弱性診断
実施の目的アタックサーフェスの検出と管理、リスクの早期発見指定したIT資産の脆弱性の発見と対策
IT資産の発見発見する発見しない
対象の公開範囲外部公開されているIT資産のみ外部公開および内部(非公開)のIT資産
対象の選び方発見したIT資産全てを対象にできる自分たちで対象を指定
リスク評価が対象に及ぼす影響脆弱性診断に比べ少ない(詳細は後述)疑似攻撃や多数の検査用通信による副作用の可能性あり
リスク評価の頻度高頻度(毎日~月1回程度)低頻度(診断調整なども必要なため、年に1~数回程度)
リスク評価の精度低い(検出漏れや誤検出が想定される)高い(脆弱性の存在を検証)
リスク評価のコスト低い(安価)高い(高価)

ASMツールの特徴 #

ASMツールは、アタックサーフェスの検出と管理、リスクの早期発見を目的としており、「広く浅く早く」脆弱性の検出や評価を行う点が特徴です。 脆弱性診断と比較すると、IT資産の発見機能を持つことが最も大きな特徴・違いとなります。
これにより、未把握のIT資産も含めた自組織の外部公開IT資産を検出(発見)し、「広く」リスク評価の対象とすることができます。

一方で、リスク評価はツールによる機械的な検出・評価となるため、脆弱性診断と比較すると「浅く」なります。
例えば、対象のIT資産が利用しているソフトウェアのバージョン情報などをうまく取得・推測できなかった場合、脆弱性を検出できなかったり(検出漏れ)、逆に既に修正・対策済みの脆弱性を誤検出してしまったりする可能性があります。
また、機械的な評価のため、脆弱性が悪用可能かどうかについて、詳細な検証や技術的評価が欠ける場合もあります。

ただし、リスク評価が「浅く」なることはデメリットばかりではありません。
リスク評価のためのスキャン通信による負荷やセキュリティ監視システムへの影響がほとんどなく(※)、ツールによる機械的なプロセスのため低コスト(少ない労力や費用)でリスク評価を実施することが可能です。
従って、高頻度(毎日~月1回程度)のリスク評価を実施することが現実的となり、「早く」脆弱性を見つけ、リスクの早期発見につなげることが可能になります。

※なお、ASMツールによっては脆弱性診断相当の疑似攻撃スキャンを行う機能を有していることがあります。その場合、通信負荷や副作用などの影響を及ぼす可能性があるため注意が必要です。詳細は、4.2節「ASMツールの注意点」をご参照ください。

脆弱性診断の特徴 #

脆弱性診断は、指定したIT資産の脆弱性の発見と対策を目的としており、「狭く深く正確に」脆弱性の検出や評価を行う点が特徴です。
一般的に、脆弱性診断ではIT資産の発見を行うことはなく、予算やスケジュールなどを考慮してリスク評価対象のIT資産を指定(選択)する必要があります。
ただし、ASMツールと異なり、リスク評価対象が外部公開IT資産に限定されないため、非公開のIT資産に対しても組織のネットワーク内部からリスク評価を実施することが可能です。
脆弱性診断では、脆弱性診断サービスを提供するベンダーや、対象のIT資産の管理者など関係者との調整も必要なため、ASMツールと比較して高コスト(高い労力と費用)となる場合が多いです。
従って、高頻度での実施は難しく、年に1~数回程度の実施となることが一般的であり、ASMツールと比較するとリスク評価の対象は「狭く」なります。

一方で、リスク評価は、専門家が疑似的な攻撃の通信を行い脆弱性の存在を検証・特定するため、ASMツールと比較して「深く正確に」なります。
しかし、スキャン通信による高負荷が発生する可能性や、セキュリティ監視システムに影響を及ぼす可能性があるため、実施前には関係者との事前の調整が必要です。