ここ1〜2年、「ASM（Attack Surface Management）サービス」の提案書が、金融機関のみなさんの机に次々と届いているのではないでしょうか。「外部から攻撃面を可視化」「攻撃者視点でリスクを洗い出し」といった言葉は魅力的ですが、現場でお話を伺うと「本当に必須なのか」「どこまで投資すべきか」がまだ腹落ちしていないケースも多いと感じます。

まず押さえておきたいのは、「ASMブーム」は単なる流行ではなく、数字と政策と実例に裏付けられているという点です。国内の調査会社が公表したデータでは、アタックサーフェスマネジメントサービス市場の2023年度売上金額は前年度比で約83％増という非常に高い伸びを示し、その後も2024年度まで高水準の成長が続いています。さらに、2023〜2028年度の年平均成長率も20％台後半と分析されており、他のセキュリティ分野と比較しても突出した成長領域になっていることがうかがえます。

規制とガイドラインが背中を押している

政策面でも、ASM的なアプローチの重要性ははっきり示されています。経済産業省は2023年に「ASM導入ガイダンス」を公開し、外部から把握できる情報を使って自組織のIT資産を洗い出すことの必要性を整理しました。金融庁も、サイバーセキュリティに関するガイドラインや各種モニタリングを通じて、「デジタル化の進展によりアタックサーフェス（侵入口）が拡大している」という問題意識を明確にしています。

その結果、金融機関に対しては「自組織が把握していないIT資産（いわゆるシャドーIT）の管理」「脆弱性の継続的な可視化」が強く求められるようになりました。こうした要件を現実的に満たす手段として、ASMが“事実上の推奨策”になりつつある、というのがここ数年の流れです。

なぜ今、金融機関でASM提案が増えているのか

ASM提案が急に増えた背景には、大きく二つの要因があります。一つは、いま見たような規制・ガイドラインの強化です。金融機関側から見れば、「やっておいた方がよい」領域から「説明責任を果たすために、どこまでやったかを示す必要がある」領域に変わってきた、と言えます。

もう一つは、従来の資産管理の限界です。クラウドやSaaS、フィンテック連携、オープンAPIなどが増える中で、

• 事業部門が独自に立ち上げたクラウド環境
• 買収した子会社やグループ会社の古いWebサイト・サーバー
• キャンペーン終了後も残っている特設サイトやテスト環境

といった「誰も正確に把握していない外部公開資産」が増えています。攻撃者は、守りの固い勘定系システムよりも、こうした“管理のすき間”を好んで狙います。外から網羅的にチェックできるASMは、この課題に対する現実的な解決策として注目されているのです。

ASMとは何をしてくれる仕組みか

ASMを難しく考える必要はありません。ざっくり言えば、「攻撃者がやっていることを、守る側も継続的にやる仕組み」です。具体的には次の三つを自動的に回し続けます。

1. インターネットから見える自社関連の資産を洗い出す
2. それらにどんな“すき間”があるかを評価する（古いミドルウェア、危険な設定、放置サイトなど）
3. 新しく増えた資産や設定変更を継続的にモニタリングする

イメージとしては、「年1回の健康診断」ではなく、「毎日の簡易健診」に近いものです。実際にわたしが関わった金融グループでは、ASMを回し始めた直後に、数年前のキャンペーン用に作った特設サイトや、担当者が異動した後に放置されていたテスト環境が次々と見つかりました。「そもそもこれは何のシステムか」「誰が責任者か」を調べるところから始めることになり、資産管理の抜け漏れが可視化された典型的な事例でした。

よくあるつまずきと「効かせる」ための工夫

一方で、「ASMを入れたのにあまり効果を感じない」という声も耳にします。よくあるつまずきは大きく三つです。

• ASMを「少し賢い診断ツールの延長」と捉え、運用の頻度や幅を変えない
• ダッシュボードを眺めて安心し、「誰が・いつまでに・どう対処するか」が決まっていない
• カバー範囲が広すぎて“真っ赤なレポート”ばかり届き、現場が疲弊する

逆に言えば、ここを意識して設計すれば「効く投資」になりやすくなります。ある金融機関では、「ASMの結果を毎月の脆弱性対応会議で必ずレビューする」「重要度の高い指摘は必ずチケット化する」といったルールを決めたことで、初めて数字が着実に減り始めました。最初の1〜2年は、対象範囲も「本体＋特に重要なグループ会社」など、あえて絞って始める方が現実的です。

ASM提案を受けたときに確認したい3つのポイント

では、実際にベンダーからASMサービスの提案を受けたとき、どこを見ればよいのでしょうか。最低限、次の三点は確認しておくことをおすすめします。

1. カバー範囲はどこまでか
   本体のドメインだけなのか、主要な子会社・重要な委託先・海外拠点まで視野に入れているのか。最初の導入範囲と、将来の拡張イメージを確認しておきます。
2. 「知られていない資産」をどう見つけるか
   既存の資産台帳をなぞるだけなのか、DNSや証明書情報など外形情報から自動的に推測し、隠れた資産を拾いにいくのか。ここが弱いと、ASM本来の価値が出ません。
3. 既存運用とどうつなげるか
   チケットシステムや脆弱性管理プロセスと連携できるのか、それともPDFレポートをメールで送って終わりなのか。後者だと、社内で“レポートの山”が増えるだけになりがちです。

「規制対応のコスト」から「攻撃者に先回りするレーダー」へ

金融機関にとって、ASMは「規制対応のために仕方なく導入するもの」にも、「攻撃者の偵察に先回りするレーダー」にもなり得ます。どうせ投資するのであれば、後者として活用したいところです。

攻撃者の目線に立ってみると、狙い目はいつも同じです。

• 誰も把握していない資産
• 責任の所在があいまいなシステム
• 「昔作って、そのまま」のサイトやAPI

ASMは、そうした“盲点”を継続的に照らし出す仕組みです。自社の実情とガイドラインの要求、そして各社の提案内容を照らし合わせながら、「自分たちの攻撃面をどこまで見える化し、どのように日々の運用に組み込むのか」を、このタイミングで改めて見直してみてはいかがでしょうか。

※本内容の引用・転載を禁止します。