ASMツールとASMサービスの違い #
自組織へのASM導入を検討する際、「ASMツール」と「ASMサービス」という似たような2つの選択肢に直面したことはありませんか?それぞれのアプローチは特徴が異なり、導入する組織の規模やリソース、ニーズに応じて選択する必要があります。本コラムでは、これらの違いを理解し、適切なASMソリューションを選ぶためのポイントを解説します。
なお、本コラムではASMツールを「ツールベースで自動的にASMを行うソリューション」、ASMサービスを「ツールと専門家による分析を組み合わせてASMを行うソリューション」と定義します。どちらも自組織のIT資産発見やリスク評価を行うソリューションですが、検出精度や自動化レベル、運用負担、そしてコスト等に大きな違いがあります。
以下、主な指標でそれぞれ比較してみましょう。
| ASMツール | ASMサービス | |
|---|---|---|
| 頻度 | 全自動または半自動化されており、IT資産の発見やリスクの評価を高頻度で行うことができます。 | 専門家が介入するため、ツールと比較してIT資産の発見やリスク評価の頻度は低くなります。 |
| 検出精度 | 機械的にIT資産や脆弱性の発見を行うため、誤検知が多くなる傾向があります。 | 専門家が精査を行うため、誤検知は少なくなる傾向があります。また、専門家による分析により、ツール単体では難しい、より深い洞察や網羅性を得ることや、潜在的なリスクの見落としを最小化することができます。 |
| カスタマイズ性 | 機能が標準化されていることが多く、カスタマイズが制限されることがあります。このため、自組織のニーズに完全フィットしないASMになる場合があります。 | 専門家による柔軟なASMが行われることが多く、比較的カスタマイズは容易になります。このため、組織のニーズによりフィットしたASMを行うことができます。 |
| スケーラビリティ | 機械的なASMが行われるため、導入組織の規模拡大にも柔軟に対応することができます。 | 専門家による手動のASMが行われるため、導入組織の規模拡大に伴い、サービス提供側のリソース制約により対応が難しくなる場合があります。 |
| 専門知識の有無 | ツールを自組織で運用し、検出結果を精査する必要があるため、ASMの知識が必要になります。 | 専門家にASM運用を任せることができるため、高度なASMの知識は不要となります。 |
| コスト | サービスと比べて初期導入コストは低く、運用費用も抑えられる場合があります。しかし、上記の通り、ツールの運用にはASMの知識が求められるため、自組織の相応の人材によるASM運用工数が増加する可能性があります。 | ツールと比べてコストが高くなる傾向があります。一方で、ASM運用をサービス提供側に任せることができるため(※)、自組織のASM運用工数は軽減されます。特に、ASMに対応するリソースが不足している組織に有効です。※ASMサービスを利用する場合でも、サービスの結果を基に自組織のIT資産管理プロセスを自分たちで運用する必要はあります |
上記の通り、ASMツールとASMサービスには、それぞれ異なる特長があることが分かったのではないでしょうか?組織の規模、予算、リソースに応じて、最適なソリューションを選ぶことが重要です。
自組織に最適なASMソリューションの導入に向けて、これらの違いを理解し、後悔しない選択を行いましょう。