ASMツールの拡張機能と付加価値 #
ASMツールには、これまでに説明した機能以外にも、様々な特徴・付加価値が提供されている場合があります。その中でも代表的なものを以下に紹介します。
サプライチェーンマネジメント #
自組織やグループ企業に加えて、取引先企業などのサプライチェーンもASMのプロセスの対象に含めることが可能なツールがあります。企業やドメイン単位でのスコアレーティング機能を備えており、自組織およびサプライチェーン(他社)のセキュリティ状況をスコア化することでサプライチェーン全体のリスク評価をできるようになっています。
脅威インテリジェンス #
脅威インテリジェンスツールにASMツールが統合されることもあります。脅威情報の収集・分析との組み合わせにより、攻撃者の動向などの脅威情報とアタックサーフェスの情報を組み合わせることで、より高度なリスク評価が可能になっています。
脆弱性診断 #
ASMツールと脆弱性診断ツールを統合し、ASMでリスクが高いと示唆されたIT資産に対し、脆弱性診断を実行できるツールがあります。ASMによるリスク評価は対象のIT資産に影響を与えないように実行できる一方で、表層的な評価に留まり、多くの脆弱性を発見することは困難です。
そこで、ASMのスキャンでリスクが高いと示唆されたIT資産に対して脆弱性診断を実行することで、より攻撃に悪用され得る脆弱性の有無を確認することができます。
なお、ASMのスキャンと脆弱性診断の違いについては2.4節「ASMと脆弱性診断の違い」を参照ください。