ASM(Attack Surface Management)は、企業や組織のデジタルアセット・資産がサイバー攻撃にさらされるリスクを特定、評価、軽減する概念である。デジタル化が加速する企業において拡大するサイバー攻撃の脅威に対する有効な概念、対策として近年注目されている。
背景として、現代の企業は、ウェブサイト、アプリケーション、ネットワークインフラ、さらにクラウドサービスなど多岐にわたるデジタルアセットを保有・管理しており、それらのアセットを継続的に正確に把握することが困難となっている。アセットが十分に把握できていない状況において、脆弱性への対処漏れなどにより、サイバー攻撃の対象となり被害が発生するケースが増加している。ASMは攻撃対象となる可能性のあるアセットを特定し、セキュリティ状態を評価してリスクを軽減することで、これらの課題に対応する。具体的な例としては、企業がASMツールを用いて、公開されているウェブサーバーの脆弱性を発見し、迅速に修正するなどが挙げられ、ASMは潜在的な脅威を発見し、組織が迅速に対応できるよう支援する。
今後、ASMの重要性はさらに高まると予想されており、クラウド、IoT、リモートワークの増加に伴い、攻撃対象となる面・アセットが拡大するため、企業はASMをセキュリティ管理の重要な要素として取り入れる傾向にある。経済産業省からも2023年5月に「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」が公開されている。
