無料セキュリティ対策に不安がある企業必見！「セキュリティ対策無料相談窓口」

画像：デジタル庁より引用

内閣サイバーセキュリティ―センター（NISC）は2024年7月19日、政府や独立行政法人に関連するシステムに内在する脆弱性を横断的に調査・是正する「横断的アタックサーフェスマネジメント（ASM）」を2024年7月22日より順次開始すると発表しました。

ASMとは、組織が外部に公開しているサーバやネットワーク機器などの情報を継続的に収集・分析し、脆弱性やリスクを継続的に検出・評価するプロセスです。発見されたリスクに対しては是正が行われますが、日本政府は各府省庁や独立行政法人が持つ外部公開されたIT機器等を対象にすることで、対象組織全体で脆弱性を評価し、サイバーセキュリティの強化を図ろうとしています。

ASMは一般的なセキュリティと比べ構造が異なります。一般的なセキュリティはウイルス対策ソフトやファイアウォール、侵入検知システムなどでシステム全体を守りますが、ASMは外部に公開されているIT機器が持つ脆弱性やリスクを継続的な検出・評価、具体的な対策に特化。攻撃者の視点から見た攻撃対象領域を把握し、管理することで、外部からの攻撃リスクをより効果的に軽減することが可能です。

NISCらがASM導入を決めた背景には、2022年12月に策定された国家安全保障戦略があります。この戦略では、サイバー安全保障分野での対応能力を向上させるために、政府機関のシステムを常時評価し、脅威対策やシステムの脆弱性を随時是正する仕組みを構築することが求められました。NISCが実施するASM事業はその一環で、政府機関のシステムを守るための新たな取り組みとして位置づけられます。

NISCは今後、ASMを通じて政府機関や関連団体のシステムのセキュリティを一層強化することを目指しています。ASMの運用によって得られるデータや知見を活用し、セキュリティ対策の質を向上させ、継続的な評価と改善を行うとのこと。また、政府はこの取り組みを通じて他国とも協力し、グローバルなサイバーセキュリティの向上にも期待しています。

参照河野大臣記者会見（令和6年7月19日）

参照横断的アタックサーフェスマネジメント（ASM）事業の運用開始に係るプレスリリース