2025.07.17
ASMとShodan
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
本記事では、近年企業等で導入が進んでいるASM(Attack Surface Management)と、その実施方法の一つであるShodan(Sentient Hyper-Optimized Data Access Network)の概要について解説します。
●ASMの概要
ASM とは、外部(インターネット)からアクセス可能な機器などサイバー攻撃を受ける可能性のある自組織の IT 資産の情報を攻撃者の視点で調査し、それらに存在する脆弱性を継続的に評価する取り組みであり、「攻撃対象領域管理」などと訳されます。ASMは、専⽤のツールやセキュリティベンダ等が提供するサービスを活⽤して実施することが⼀般的です。
●ASMのプロセス
ASMは、次に示すように、主に 3 つのプロセスから構成されます。
(1) 攻撃対象の発⾒
最初のプロセスでは、外部からアクセス可能な企業等のIT 資産を発⾒します。具体的には、次のような手順で攻撃対象となるIP アドレス及びホスト名のリストを得ます。
① 組織名をもとに、公開ウェブサイトや WHOISを利⽤し、当該組織が管理者となっているドメイン名を特定します。
② ①で特定したドメイン名に対し、DNS による検索や、ツールなどを活⽤することで、IPアドレス及びホスト名のリストを取得します。
(2) 攻撃対象の情報収集
(1)で発⾒した IT 資産の OSやソフトウェア、ソフトウェアのバージョン、開いているポート番号などの情報を収集します。このプロセスでは、情報収集によって調査対象に影響を及ぼさないよう、ウェブページの表⽰など、通常のアクセスの範囲で⾏われます。
(3) 攻撃対象のリスク評価
(2)で収集した情報と、公開されている既知の脆弱性情報から脆弱性が存在する可能性を確認し、攻撃⾯のリスクを評価します。
●ASM実施による効果
ASMを実施することによる効果として、次が挙げられます。
・情報システムを管理している部⾨が把握していない自組織の IT 資産とその脆弱性を発⾒できる。
・情報システムを管理している部⾨の想定と異なり、公開状態となっている自組織の IT 資産とその脆弱性を発⾒できる。
●ASMと脆弱性診断の違い
ASM の主な目的は、自組織のIT資産に存在する脆弱性を発見、評価することであり、脆弱性診断と同じといえますが、次のように、いくつかの観点で異なります。
①対象とするIT資産の範囲
ASMは外部からアクセス可能な自組織の全てのIT資産が対象となり、把握していないIT 資産も含まれます。⼀⽅、脆弱性診断では、把握されているIT資産のみが対象となります。
②脆弱性の確度
ASM では、発見されたIT資産に含まれている可能性のある脆弱性情報を提⽰しますが、それはあくまで可能性のレベルであり、脆弱性を特定しているわけではありません。⼀⽅、脆弱性診断では、対象となるIT資産に疑似的な攻撃を行い、その応答を評価して脆弱性を特定します。したがって、ASMに比べ、脆弱性診断の方が脆弱性特定の確度は⾼いといえます。
表:ASMと脆弱性診断の比較
| 対象範囲 | 脆弱性の特定確度 | 対象への影響 | |
|---|---|---|---|
| ASM | 外部からアクセス可能な全てのIT資産 | 可能性のレベルであり、脆弱性を特定しているわけではないため確度は低い | アクセスパケットがセキュリティ監視機器等に検出されたり、対象のIT機器の動作に影響を及ぼしたりすることはほとんどない |
| 脆弱性診断 | 診断対象としてあらかじめ特定したIT資産 | 疑似的な攻撃を行い、その応答を評価して脆弱性を特定しているため確度は高い | 診断のパケットがセキュリティ監視機器等に検出されたり、対象の IT 資産の動作に影響を及ぼしたりする場合がある |
このように、ASMと脆弱性診断は、その対象範囲や得られるアウトプットは異なるものであるため、⽬的に応じて使い分けや併⽤を検討すべきです。
●Shodanの概要
Shodanは、外部に公開された世界中のサーバやネットワーク機器等の情報を収集・蓄積し、公開している検索エンジンであり、ASMのツールとして活用することができます。Shodanは無償で利用可能ですが、より使い勝手の良い買い切りの有償アカウントや、サブスクリプションによる複数のプランなどもあります。かつては攻撃者が利用するサイトとして認識されていたこともありましたが、現在ではASMの代表的なサービスとして広く活用されています。
●参考情報
ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~(経済産業省)
https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html
Shodan
https://www.shodan.io/
※本サービスは民間企業により提供されており、東京都が特定の事業者を推奨するものではありません。
本記事で取り上げているASMや脆弱性診断は、昨年度の令和6年度中小企業サイバーセキュリティ対策事業でも制作しています。観点や内容が異なりますのでより知識を得たい方は是非こちらもご参照ください。
https://cybersecurity-taisaku.metro.tokyo.lg.jp/topics/hottopic19/
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2024.10.16
2024.09.02
2025.02.06
