経済産業省が公開した「攻撃対象領域(Attack Surface)」の管理とリスク低減についてのガイダンスについて紹介したいと思います。
このガイダンスは、インターネット上に露出しているIT資産がサイバー攻撃の対象となりうることを認識し、そのリスクを低減するための手法について詳しく説明しています。具体的には、Attack Surface Management(ASM)という手法を導入することで、組織のIT資産を発見し、管理する方法を解説しています。
ASMは、組織の外部(インターネット)からアクセス可能なIT資産の情報を調査し、それらに存在する脆弱性を継続的に評価する取り組みです。この取り組みには、専用のツールやサービスを活用して実施することが一般的で、これにより、組織が保有または管理しているIT資産を特定し、セキュリティ対策に活用することが可能となります。
また、ASMは、情報システムを管理している部門が把握していないIT資産を発見できるという特徴があります。これにより、キャンペーン活動などに利用するWebサイトや、情報システムを管理している部門以外が構築・運用しているIT資産を発見することができます。
このガイダンスは、企業の情報システムまたは情報セキュリティ部門にあって、セキュリティ向上施策、体制、ツールなどを検討する方、またはCIO(Chief Information Officer)やCISO(Chief Information Security Officer)などの情報セキュリティ戦略に責任を持つ経営層レベルの方にとって、非常に有益な情報となるでしょう。
組織のIT資産を適切に管理し、サイバー攻撃から保護するためには、ASMのような取り組みが必要不可欠です。このガイダンスを参考に、組織の情報セキュリティを一層強化していきましょう。