近年、企業のIT環境はクラウド化やDX推進により急速に複雑化しています。

その一方で、企業自身も把握しきれていないサーバーやクラウド環境、放置されたドメインなどが、サイバー攻撃の入り口として悪用されるケースが増えています。

こうした背景から注目されているのが「EASM」です。

EASMを活用することで、把握できていない外部公開資産を可視化し、継続的にリスク管理できるようになります。

本記事では、EASMの概要や必要性、導入メリット、ASM・CAASM・脆弱性診断との違い、選定ポイントまでわかりやすく解説します。

「自社のIT資産を正確に把握できていない」「外部公開資産のリスクを可視化したい」と考えている企業・組織の方は、ぜひ参考にしてください。

EASMとは

「EASM（External Attack Surface Management）」とは、日本語で「外部攻撃対象領域管理」と訳されます。

WebサイトやVPN、クラウド環境、サーバーなど、インターネット上には外部からアクセス可能なIT資産が数多く存在します。

EASMは、こうした外部公開資産を発見し、そこに潜む脆弱性やリスクを継続的に監視・管理するアプローチです。

近年では、企業が把握できていない古いサーバーや使われていないWebサイトなどが、サイバー攻撃の入口として悪用されるケースも増えています。

攻撃者は、こうした「管理されていない資産」を探し、侵入を試みます。

EASMは、攻撃者の視点から自社のIT資産を可視化・棚卸しすることで、これまで見えていなかったセキュリティ上の死角を把握し、リスク低減につなげる仕組みです。

攻撃対象領域（アタックサーフェス）とは

「外部攻撃対象領域管理」の「攻撃対象領域」は、サイバー攻撃を受ける可能性のあるIT資産全体を意味する言葉で、「アタックサーフェス」とも呼ばれます。

攻撃対象領域には、以下のような外部からアクセス可能なIT資産が含まれます。

近年では、クラウドサービスやWebアプリケーションの利用拡大に伴い、この攻撃対象領域も急速に拡大しています。

利便性が高まる一方で、「管理が追いついていない」「すべてのIT資産を正確に把握できていない」といった課題を抱えている企業も少なくありません。

EASMは、この拡大し続ける「攻撃対象領域」を可視化し、リスクを継続的に把握・管理するための重要な手段です。

EASMが注目される背景

EASMが注目される背景には、主に2つの要因があります。

ひとつは、クラウドサービスの普及やテレワークの浸透により、企業のIT資産が社内ネットワークだけでなく、社外にも分散するようになったことです。

これにより、情報システム部門が把握していない「シャドーIT」が生まれやすくなっています。

もう一つの要因は、サイバー攻撃の高度化です。

攻撃者は常に防御の手薄な部分を狙っており、管理されていないIT資産や放置されたシステムは格好の標的となります。

実際、古いVPN機器や未使用のWebサイト、設定ミスのあるクラウド環境などが、侵入口として悪用されるケースも少なくありません。

しかし、こうした外部公開資産を正確かつ網羅的に把握することは容易ではありません。

このような背景から、外部に公開されているIT資産を漏れなく可視化し、継続的に管理する必要性が高まっているのです。

EASMと他のセキュリティソリューションとの違い

業務のクラウド化が進むにつれ、攻撃者の標的となる領域も拡大しています。

こうした脅威に対応するためには、自社のIT資産を正確に把握したうえで、目的に応じたセキュリティ対策を講じることが重要です。

ここでは、EASMと混同されやすい「ASM」「CAASM」「脆弱性診断」について、それぞれの対象範囲や役割の違いを解説します。

ASM（Attack Surface Management）との違い

「ASM（Attack Surface Management）」とは、企業の攻撃対象領域（Attack Surface）を管理するためのセキュリティアプローチです。

EASMとほぼ同義で使われることもありますが、ASMは内部・外部の両方を含めた包括的な概念として扱われるケースがあります。

一方、EASMは「External（外部）」という名前の通り、インターネットからアクセス可能な外部公開資産に焦点を当てている点が特徴です。

そのため、ASMが広義の概念であるのに対し、EASMは外部からの脅威に特化したアプローチとして使い分けられます。

CAASM（Cyber Asset Attack Surface Management）との違い

CAASM（Cyber Asset Attack Surface Management）は、組織内のIT資産を包括的に管理するためのアプローチです。

EASMがインターネット上に公開されている外部資産に焦点を当てるのに対し、CAASMはAPI連携などを通じて、社内外のさまざまなIT資産情報を収集・統合します。

これにより、クラウドサービスや端末、アカウント、セキュリティツールなどを含めた資産の一元管理が可能になります。

つまり、EASMが「外から見える資産」を管理するのに対し、CAASMは「組織内に存在する資産全体」を把握・管理するアプローチと言えます。

脆弱性診断との違い

脆弱性診断とEASMは、対象とする資産の範囲や目的が異なります。

脆弱性診断は、企業がすでに把握しているサーバーやWebアプリケーションなどに対して実施されるのが一般的です。

一方でEASMは、企業自身も把握できていない未知のIT資産を含めて発見・管理する点が特徴です。

また、脆弱性診断が定期的に実施されるケースが多いのに対し、EASMは継続的な監視を行うことで、新たな外部公開資産やリスクを迅速に検知します。

EASMの主な機能

EASMソリューションには、外部の攻撃対象領域を管理するためのさまざまな機能が備わっています。

ここでは、EASMの中核となる4つの機能を紹介します。

それぞれの機能について詳しく解説します。

外部IT資産の自動検出

EASMの代表的な機能であり、大きな強みとなるのが、自社に関連する外部公開資産を自動で検出する機能です。

既知のドメイン情報などを起点として、関連するサブドメインやIPアドレス、クラウドサービス上の資産などを探索します。

また、攻撃者が行う偵察活動と同様の手法を用いることで、組織が把握できていないIT資産や管理外のシステムを洗い出すことも可能です。

検出した資産の分類・リスク評価

検出された資産は、種類（Webサーバやデータベースなど）、利用されているソフトウェア、バージョン情報などに基づいて自動的に分類されます。

EASMでは、分類した資産ごとに、それぞれが抱えるリスクを評価します。

例えば、管理画面が外部に公開されている場合や、古いバージョンのソフトウェアが使用されている場合などは、攻撃を受けるリスクが高い資産として判断されます。

脆弱性と脅威インテリジェンスの関連付け

EASMソリューションは、発見した資産の脆弱性情報と、最新の脅威インテリジェンス（攻撃者の動向や新たな攻撃手法に関する情報）を関連付けて分析します。

これにより、単に脆弱性の有無を確認するだけでなく、「その脆弱性が現在実際に悪用されているか」「攻撃対象として狙われているか」といった、より実践的な視点でリスクを評価できます。

継続的な監視とアラート通知

EASMは、攻撃対象領域の状態を継続的に監視し、新たなリスクの発生や既存リスクの変化を検知した場合に、セキュリティ担当者へアラートを通知します。

例えば、新しいポートが開放された場合や、SSL証明書の有効期限が近づいている場合など、外部公開資産の変化を迅速に検知できます。

これにより、問題が深刻化する前に、迅速な対応を行うことが可能です。

EASMの導入メリット

EASMを導入することで、以下のようなメリットが期待できます。

それぞれ確認していきましょう。

未知のIT資産を把握できる

EASMを導入することで、これまで管理部門が把握しきれていなかったIT資産、いわゆる「シャドーIT」を可視化できます。

例えば、テスト用に構築したサーバーが削除されずに残っていたり、各部署が独自に契約したクラウドサービスが存在していたりするケースは少なくありません。

こうした管理外のIT資産は、情報システム部門によるセキュリティ対策が行き届かず、サイバー攻撃の入口となるリスクがあります。

EASMは、これらの外部公開資産を自動的に発見・監視し、管理下に置くことで、セキュリティ上の抜け漏れを防ぎます。

外部からの攻撃リスクを継続的に監視できる

EASMは、一度きりの調査で終わるのではなく、外部の攻撃対象領域を継続的に監視するアプローチです。

例えば、新しいドメインの追加や新規サービスの公開など、外部公開資産に変化があった場合も迅速に検知し、リスクを評価できます。

これにより、IT環境の変化に素早く対応しながら、継続的にセキュリティリスクを管理することが可能になります。

脆弱性の早期発見と優先順位付けができる

EASMは、発見したIT資産に存在する脆弱性を自動で検出し、その危険度を評価します。

また、膨大な脆弱性情報の中から、攻撃者に悪用される可能性が高いものや、事業への影響が大きいものを優先的に可視化・分類することも可能です。

これにより、セキュリティ担当者は限られたリソースを、優先度の高い対策に集中できるようになります。

セキュリティ運用全体を効率化できる

シャドーITの発見からリスク評価、優先順位付けまでの一連のプロセスを自動化することで、セキュリティ運用の効率を大幅に向上できます。

例えば、これまで手作業で行っていた情報収集や分析の負担を軽減できるだけでなく、客観的なデータに基づいて対策を進められるため、迅速かつ的確な意思決定にもつながります。

EASMソリューションの選定ポイント

EASMソリューションにはさまざまな種類があり、それぞれ特徴や強みが異なります。

そのため、単に検出精度の高さだけで選んでしまうと、自社の運用体制に合わず、十分に活用できない可能性もあります。

そこで本記事では、EASMソリューションを選定する際に確認しておきたい3つのポイントを解説します。

EASMを効果的に活用するために、それぞれのポイントを確認していきましょう。

自社の環境や規模に適しているか

EASMに限らず、新しいセキュリティツールを導入する際は、自社のIT環境や組織規模に適したソリューションであるかを確認することが重要です。

例えば、管理対象となるドメイン数や資産数、利用しているクラウドサービスの種類・規模などを踏まえ、それらを十分にカバーできる性能を備えているかを確認する必要があります。

また、将来的な事業拡大やIT環境の変化を見据え、拡張性があるかどうかも重要なポイントです。

資産の発見能力・リスク評価の精度は適切か

EASMの根幹となる資産の発見能力と、リスク評価の精度は、特に重要な選定ポイントです。

どれだけ広範囲の外部公開資産を発見できるか、また、それらをどれだけ正確に自社の資産として特定できるかを確認しましょう。

誤検知や検知漏れが多い場合、不要なアラート対応が増え、かえって運用負荷が高まる可能性があります。

そのため、トライアル環境などを活用し、実際のIT環境で検出精度や使いやすさを確認することが重要です。

他のセキュリティソリューションと連携しやすいか

EASMは単体で完結するものではなく、他のセキュリティソリューションと連携することで、より高い効果を発揮します。

例えば、脆弱性管理ツールやSIEMなど、既存のセキュリティ運用プロセスへスムーズに組み込めるかを確認することが重要です。

また、API連携の柔軟性や、対応している製品・サービスの種類なども重要なチェックポイントとなります。

EASMと脆弱性診断を併用するメリット

EASMは、攻撃者に狙われるリスクのある外部公開資産を継続的に発見・可視化するうえで有効なソリューションです。

一方で、発見した資産にどのような脆弱性が存在し、実際に悪用される可能性があるのかを詳細に検証するためには、「脆弱性診断」の実施が欠かせません。

つまり、EASMと脆弱性診断はどちらか一方を選ぶものではなく、併用することでより高い効果を発揮します。

例えば、EASMによって発見した外部公開資産を脆弱性診断の対象に加えることで、これまで把握できていなかったリスクの洗い出しが可能になります。

また、EASMによる継続的な監視と、脆弱性診断による詳細な検証を組み合わせることで、優先度の高いリスクへ効率的に対応できるようになります。

このように、EASMと脆弱性診断を併用することで、外部公開資産の可視化から脆弱性の特定・対策まで、一貫したセキュリティ運用を実現できます。

LANSCOPE プロフェッショナルサービスの「脆弱性診断・セキュリティ診断」

クラウドサービスやWebアプリケーションの業務利用が一般化するにつれ、外部からアクセス可能な攻撃対象領域が拡大しています。

攻撃者から狙われる可能性のある領域が拡大していることで、企業・組織が直面するセキュリティリスクも増加しています。

そのため、自社の外部公開資産を正確に把握・管理し、潜在的な脆弱性へ迅速に対応できる体制を整えることの重要性は高まっています。

そこで、まずはEASMソリューションによって、管理部門が把握できていなかったIT資産やリスクを可視化し、そのうえで脆弱性診断によって詳細な検証を行うことで、より実効性の高いセキュリティ対策を実現できます。

LANSCOPE プロフェッショナルサービス では、12,000件以上の支援実績と90％以上のリピート率を誇る「脆弱性診断・セキュリティ診断」を提供しています。

本サービスでは、国家資格「情報処理安全確保支援士」を保有する診断員が、専門的な知見と豊富な経験をもとに、お客様のセキュリティ対策を支援します。

Webアプリケーションやクラウド、ネットワークなど、ニーズに応じた多彩な診断メニューを用意しており、必要な診断のみを選択可能です。

また、診断結果は専門知識がない方でも理解しやすいレポート形式で報告し、具体的な対策案までわかりやすく提示します。

さらに、より手頃な価格で診断を受けたい企業向けに、Webアプリケーションやネットワークに特化した「セキュリティ健康診断パッケージ」も提供しています。

短期間・低コストで実施できるため、「まずは現状を把握したい」「何から始めればよいかわからない」という企業の方にも最適なサービスです。

詳細は、下記のページをご確認ください。

3分で分かる！
脆弱性診断のご案内

LANSCOPE プロフェッショナルサービスの脆弱性診断でできることをわかりやすく解説！ぴったりの診断を選べるフローチャートもご用意しています。

資料をダウンロードする

サイバーリスクの可視化・対策サポートに「サイバーリスク健康診断」

「サイバーリスク健康診断」サービスは、攻撃者が標的を探す際の「偵察」と同じ視点で、自社のIT環境を調査し、潜在的なサイバーリスクを可視化するサービスです。

本サービスでは、外部公開資産を対象とした「サイバーリスク診断」と、組織のセキュリティ対策状況を評価する「セキュリティアセスメント」を組み合わせることで、サイバーリスクとセキュリティ対策レベルの両面から現状を把握できます。

本サービスでは「Panorays（※）」を活用し、攻撃者視点で関連するIT資産を調査することで、管理が行き届いていない公開資産や設定不備、潜在的な脆弱性を効率的に洗い出します。

診断結果をもとに、どの領域にリスクが集中しているのかを明確化し、優先的に取り組むべき対策を整理することで、限られたリソースの中でも効果的なセキュリティ対策につなげることが可能です。

さらに、複数の拠点やグループ会社を抱える企業においても、組織全体の資産管理状況やセキュリティリスクを網羅的に把握できるため、全社的なセキュリティレベルの向上に役立ちます。

※Panorays：イスラエルのPanorays社が開発した、独自のアルゴリズムでリスク評価を行うSaaS型のサイバーセキュリティリスク評価システムです。

まとめ

本記事では、「EASM」をテーマに、その概要やメリット、ソリューションの選定ポイントなどを解説しました。

クラウド化やDX推進によって企業の攻撃対象領域が拡大し続けるなか、攻撃者視点でリスクを可視化するEASMの重要性は、今後さらに高まっていくと考えられます。

自社のセキュリティ体制を見直し、強化するための一歩として、EASMの導入を検討してみてはいかがでしょうか。

また、発見した資産にどのような脆弱性が存在し、実際に悪用される可能性があるのかを詳細に検証するためには、「脆弱性診断」の実施が欠かせません。

EASMの効果を最大限に高めるためにも、ぜひ「脆弱性診断」との併用をご検討ください。

3分で分かる！
脆弱性診断のご案内

LANSCOPE プロフェッショナルサービスの脆弱性診断でできることをわかりやすく解説！ぴったりの診断を選べるフローチャートもご用意しています。

資料をダウンロードする