経済産業省のガイダンス公表により、国内企業でASM(Attack Surface Management)導入が加速している。しかし、その裏側では問題も生まれている。
ひとつは、導入した ASM ツールが自社に関係のない資産を大量にリストアップし、運用担当者がノイズの海に溺れていることだ。だが、それ以上に恐ろしいのは「企業自身が知らない資産」の存在である。たとえば忘れ去られたキャンペーンサイト、放置された開発環境、管理から漏れたドメイン等々、Web 上に点在するこれら可視化困難な資産は、従来の ASM では発見することが難しい場合も多い。
こうした状況下で攻撃者たちは、これらのまさに「盲点」を狙い撃ちしている。忘れられた資産はサイバー攻撃の入り口となる危険性を秘めているのだ。この課題を解決するアプローチが、今秋開催される Security Days Fall 2025 で明かされる。
株式会社エーアイセキュリティラボ 事業企画部ディレクター 阿部 一真(あべ かずま)氏による講演「生成 AI ならここまで自動化できる! 効率的な検出から重要度判定まで、デジタルの『 ASM 』最新事情」では、生成 AI を活用して「見えない資産」を発見する手法が紹介される。阿部氏に講演の概要について話を聞いた。
--
── ASM(Attack Surface Management)は経産省のガイダンスで関心が高まりましたが「とりあえず ASM を導入」という企業も増えています。阿部さんが感じている課題があれば教えてください
ASM の機能や運用を考える前に、前提を疑ってみたいと考えています。経産省のガイダンスを含めて、現在の ASM のスコープは基本的に、社内 IT やインフラ基盤にフォーカスされています。ネットワークやサーバー、ネットワーク機器など、IT 部門が管理してきた領域です。しかし「それで十分でしょうか」というのが我々の課題提起です。
社内 IT・IT インフラは、IT 部門が長年守ってきており、様々な施策を打ってきたため、ある意味やり尽くしています。それを自動監視することには大きな意味がありますが、目を向けられていない範囲もあります。
● 社内では完結しない DX によって Web 資産が増加
それは Web 領域です。つまり、社外に向けて価値を提供する IT サービスの部分です。これがいままで大きな問題にならなかったのは、DX の範囲が社内で完結していたからです。しかし最近、デジタルトランスフォーメーション(事業のデジタル変革)が本格化し、社外に向けて価値を提供する IT への投資が盛んになり、その結果Web資産も急増しています。それを適切に把握・管理できているでしょうか、というのが課題意識です。
多くの ASM の機能は、既知資産の監視が主目的となっており、把握しきれていない資産を発見することが難しいケースも多くあります。通常、 ASM は「シード情報」というヒントを基に資産を発見しますが、存在すら知らない資産の場合、ヒントを提供することすらできないため発見できません。
── シード情報がない資産、とは棚卸しされていない、忘れられている資産ということですね。
はい。IT 部門が存在を知らなかったキャンペーンサイトや、Webアプリ、開発・検証環境、サイトやアプリの背後で動く API などが目立ちます。特にドメインは、適切に管理しているつもりでも、ドロップキャッチされてオンラインカジノサイトなどに使われ、二次被害やレピュテーションリスクも発生する可能性があります。実際に、そのような事件も発生しています。
── 一般的な ASM ではいま挙がったような資産は発見できないのですか?
ルールベースによるヒント基準の探索では、ヒントがなければ見つかりません。また、会社名などの限られたヒントから調査すると、自社が管理すべきでない資産も含めて幅広く検出してしまい、本当に管理すべき資産の精査が困難になります。弊社の Web-ASM は生成 AI を活用して、本当に自社資産かどうかを見極めてリストアップする点に強みがあります。
● 忘れ去られた Web 資産を見つけるプロンプトの工夫とは
── 企業秘密的なものかもしれませんが具体的に生成 AI にどんなプロンプトを与えるのですか?
例えば「AeyeScan」という文字列がある Web サイトが見つかった場合、Copyright をチェックして「株式会社エーアイセキュリティラボ」なのか、AeyeScanの販売パートナー企業名なのかを判別し、精査した上で結果を表示することができます。弊社のセキュリティ技術者の知見を活用し、生成 AI が多角的な情報をもとに推論・判断することで、幅広い探索範囲から網羅的にWeb資産をピックアップしつつ、人力の精査を省力化することに成功しています。
── 最後に講演受講者へのメッセージをお願いします
自社資産の棚卸し・管理について、それらWeb資産の脆弱性対策について、気になっている方・課題を感じている方は、ぜひお越しください。他の企業がどのような課題に悩み、どう解決しているか、のべ数百にのぼるお客様とお話する中で得られたエッセンスをお伝えしたいです。DX&AI時代に生きる私たちが、セキュリティという領域で何をすべきか、現状をどう捉えるべきか、一緒に考える機会になればと思います。
● 実際にさわって確かめられるハンズオン 今回も開催
── ブース出展と、そして毎回人気のハンズオンもありますね
ブースでは、デモ画面をご覧いただきながら、実際の操作をリアルタイム動作で簡単にご案内します。私もブースに立つ予定ですので、どうぞお気軽に声をかけてください。脆弱性診断やサイバーセキュリティ全般について、現状とご要望を伺いながら「ファーストステップはここから始めましょう」といった壁打ち的なお話ができると思います。 Security Days Fall 2025 東京開催の 1 日目にはハンズオンのワークショップを実施予定で、実際に操作を体験していただけます。ぜひご参加ください。
── ハンズオンをこれだけフットワーク軽く、多人数向けに実施できるというのは、自社で開発した国産製品であることと、そもそもツールが直感的で使いやすいからだと思います。今日はありがとうございました。
Security Days Fall 2025
大阪講演 10.10(金) 13:45-14:25
ビジネス視点で実現する「真のCTEM」AI時代のセキュリティマネジメントとは
株式会社エーアイセキュリティラボ
事業企画部ディレクター
阿部 一真 氏
東京講演 10.24(金) 09:40-10:20
生成 AI ならここまで自動化できる! 効率的な検出から重要度判定まで、デジタルの「 ASM 」最新事情
株式会社エーアイセキュリティラボ
事業企画部ディレクター
阿部 一真 氏
福岡講演 10.28(火) 10:10-10:50
生成 AI ならここまで自動化できる! 効率的な検出から重要度判定まで、デジタルの「 ASM 」最新事情
株式会社エーアイセキュリティラボ
執行役員 兼 CX本部長
関根 鉄平 氏
ハンズオン 東京講演 10.21(火) 12:00-13:00
誰でも簡単にプロさながらの脆弱性診断ができる、AeyeScanハンズオンセミナー
株式会社エーアイセキュリティラボ
CX 本部プリセールスリーダー
髙橋 貴弘 氏
