Bitsightを活用して、経済産業省の「 ASM（Attack Surface Management）導入ガイダンス」を実践しましょう｜ブログ(サイバー領域)

この記事はBitsightのブログを日本語に翻訳したものです。

原題：Following METI’s Attack Surface Guidance with Bitsight
https://www.bitsight.com/blog/following-metis-attack-surface-guidance-bitsight

経済産業省の「 ASM（Attack Surface Management）導入ガイダンス」

2023年5月29日、経済産業省商務情報政策局サイバーセキュリティ課は、「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」を公開しました。企業の急速なデジタルトランスフォーメーションにより、インターネット上の活動や攻撃経路が飛躍的に拡大し、それに伴うサイバー脅威の増大に対処することを目的としています。こうしたインターネット活動の増加に対する可視性や管理が限られているため、悪意のあるアクターにその脆弱性を悪用する機会を与えてしまい、日本でも多くの損害を与える注目度の高いサイバーインシデントにつながっています。たとえば、2021年には、徳島県の町立病院がサイバー攻撃を受け、一般診療が約2か月も中断されてしまいました。

経済産業省は、インターネット上のIT資産を特定、管理し、関連するエクスポージャーや脆弱性をモニタリングし、是正することを可能にする手段として、ASMを推奨しています。また、ASMと脆弱性診断（Vulnerability Assessments / VA）の違いや、ASMが組織にもたらす価値、ASMの導入方法についても明確に説明しています。

経済産業省の定義では、Bitsightは「検索エンジン型」に分類されます。

BitsightのEASM(External Attack Surface Management)の主なメリットをご紹介します。

BitsightのEASMの主なメリット

プロアクティブなリスク管理
アタックサーフェス（攻撃対象領域）のリスクを管理し、サイバー攻撃のリスクを最小限に抑え、強固なセキュリティ体制を維持できます。
効率性の向上
IT資産の発見やリスク分析、修復の提案を自動化することで、アタックサーフェス（攻撃対象領域）を管理し、それまで必要だった手作業を削減できます。
レピュテーションの強化
データ侵害やサービスの中断など、ネガティブな影響をもたらす可能性のあるサイバー攻撃を防ぐことで、ブランドとレピュテーションを保護できます。
より迅速な対応
新たに広範かつ深刻な脆弱性が発見された場合、外部攻撃対象領域(External Attack Surface)やベンダーネットワークに与える影響を速やかに把握し、データ収集から修復まで迅速に対応できます。
ベンダーによるエクスポージャーの低減
ベンダーが提供するIT資産に関連する脆弱性やリスクを特定でき、サードパーティーベンダーのリスクを管理し、より効果的なベンダー管理やリスク低減を可能にします。