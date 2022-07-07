ASMは、資産の検出、分類と優先順位付け、修復と監視という4つのコア・プロセスで構成されています。繰り返しになりますが、デジタル攻撃対象領域の規模と形状は常に変化しているため、プロセスは継続的に実施され、ASMソリューションは可能な限りこれらのプロセスを自動化します。ここでの狙いは、公開されている資産の完全な最新インベントリーをセキュリティー・チームに提供し、組織にとって最大のリスクとなる脆弱性や脅威への対応を加速させることです。

資産の検出

資産の検出では、組織への攻撃を試みるハッカーやサイバー犯罪者の侵入経路となり得る、インターネットに接続されたハードウェア、ソフトウェア、クラウド資産を自動的かつ継続的にスキャンして特定します。これらの資産には次のようなものがあります。

分類、分析、優先順位付け

資産が特定されると、分類され、脆弱性について分析され、「攻撃可能性」によって優先順位が付けられます。「攻撃可能性」とは、基本的にハッカーがそれらを標的にする可能性を示す客観的な尺度です。

資産は、ID、IPアドレス、所有権、ITインフラストラクチャー内の他の資産との接続にインベントリー化されます。これらに存在している可能性のある脆弱性、その原因（設定ミス、コーディング・エラー、パッチの適用漏れなど）、ハッカーがこれらの脆弱性を悪用して行う可能性のある攻撃の種類（機密データの窃盗、 ランサムウェア やその他の マルウェアの拡散など）について分析されます。

次に、脆弱性の修復に優先順位が付けられます。優先順位付けはリスク評価の作業になります。通常、各脆弱性には、以下の基準に基づいてセキュリティ評価またはリスク・スコアが付けられます。

分類および分析中に収集された情報。





脅威インテリジェンス・フィード（独自およびオープンソース）、セキュリティー評価サービス、ダークウェブ、その他の情報源から取得した、ハッカーにとって脆弱性がどの程度目に付きやすいか、エクスプロイトしやすいか、エクスプロイトされたことがあるかなどに関するデータ。





組織独自の脆弱性管理およびセキュリティー・リスク評価活動の結果。この活動のひとつである「レッド・チーム」と呼ばれるものは、基本的にはハッカーの視点から行うペネトレーション・テストです（多くの場合、社内またはサードパーティの倫理的ハッカーが実施します）。レッドチームは、既知または疑わしい脆弱性をテストするのではなく、ハッカーが悪用を試みる可能性のあるすべての資産をテストします。

修復

通常、脆弱性は優先順位に従って修正されます。これには以下が含まれることがあります。

該当する資産に適切なセキュリティー対策を施すこと。たとえば、ソフトウェアやオペレーティング・システムのパッチを適用する、アプリケーション・コードのデバッグを行う、より強力なデータ暗号化を実施する、など。





これまで知られていなかった資産を管理下に置くこと。これまで管理されていなかったITにセキュリティー基準を設定する、孤立したITを安全に廃棄する、不正な資産を排除する、子会社の資産を組織のサイバーセキュリティー戦略、ポリシー、ワークフローに統合すること。

修復には、最小権限のアクセスや多要素認証（MFA）の導入など、脆弱性に対処するためのより広範な、複数の資産にまたがる対策も含まれます。

モニタリング

組織の攻撃対象領域におけるセキュリティー・リスクは、新しい資産が導入されたり、既存の資産が新しい方法で導入されたりするたびに変化するため、ネットワークのインベントリー資産とネットワークそのものを継続的に監視し、脆弱性をスキャンします。継続的な監視により、ASMは新たな脆弱性と攻撃ベクトルをリアルタイムで検知・評価し、即時対処が必要な新たな脆弱性についてはセキュリティ・チームに警告を発することができます。