経済産業省 「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」(2023.05.29)

こんにちは、丸山満彦です。

経済産業省が、「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を公表していますね。。。

NISTのキャッチアップがおわったので、経済産業省のASM導入ガイダンスの紹介です。。。

 

⚫︎経済産業省

・2023.05.29 「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を取りまとめました

 

この報告書では、ASMは、

組織の外部（インターネット）からアクセス可能な IT 資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス

と定義されていますが、要は、外部攻撃者の目線にたってネット越しにアクセス可能なIT資産の脆弱性やそのリスク等を見つけて、評価して、対応すると言う一連の管理手順という感じですかね。。。

Attack Surface自体は外部から、内部からという話ではないのですが、本書では外部に絞っているようです。。。

 

経済産業省のウェブの図解

 

あれも、これもセキュリティ対策をしろといわんばかりと思われるかもしれませんが、、、

収益をあげるために、ビジネスのインターネットへの依存度が高めれば（例えばDXを推進するなど）、それだけ、その守りを向上させる必要があるわけです。

[インターネットを含む技術の活用による収益の向上] > [サイバー対策] とならないと意味がないわけですが、収益性の観点も加えると、

      [インターネットを含む技術の活用による収益の向上] 
α = -----------------------------------------------------
                           [サイバー対策]

のαが期待収益を上回るようなものでなければならないし、できれば最大化するポイントにできればよいということになりますね。。。

 

・[PDF] 

 

 

目次...

1 章 はじめに

2 章 ASM(Attack Surface Management)とは
2.1 ASM の定義
2.2 ASM のプロセス
2.3 ASM の特徴
2.4 ASM と脆弱性管理

3 章 ASM の実施
3.1 実施計画の策定
3.2 攻撃面の調査と評価
 3.2.1 事前準備
 3.2.2 ASM ツール
 3.2.3 必要となる知識・スキル
 3.2.4 注意すべき事項
 3.2.5 ASM サービス
3.3 継続的な対応

4 章 事例
4.1 事例-A
4.2 事例-B

5 章 おわりに

6 章 付録
6.1 用語集
6.2 参考情報