* [Blog](https://www.paloaltonetworks.com/blog)
* [Palo Alto Networks](https://www.paloaltonetworks.com/blog/corporate/)
* [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja)
* ASMの必要性とその先のケア...

# ASMの必要性とその先のケア

[](https://www.facebook.com/sharer/sharer.php?u=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2F2023%2F06%2Fwhy-we-need-asm-and-what-should-be-considered%2F%3Flang%3Dja)  
[](https://twitter.com/share?text=ASM%E3%81%AE%E5%BF%85%E8%A6%81%E6%80%A7%E3%81%A8%E3%81%9D%E3%81%AE%E5%85%88%E3%81%AE%E3%82%B1%E3%82%A2&url=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2F2023%2F06%2Fwhy-we-need-asm-and-what-should-be-considered%2F%3Flang%3Dja)  
[](https://www.linkedin.com/shareArticle?mini=true&url=https%3A%2F%2Fwww.paloaltonetworks.com%2Fblog%2F2023%2F06%2Fwhy-we-need-asm-and-what-should-be-considered%2F%3Flang%3Dja&title=ASM%E3%81%AE%E5%BF%85%E8%A6%81%E6%80%A7%E3%81%A8%E3%81%9D%E3%81%AE%E5%85%88%E3%81%AE%E3%82%B1%E3%82%A2&summary=&source=)  
[](https://www.paloaltonetworks.com//www.reddit.com/submit?url=https://www.paloaltonetworks.com/blog/2023/06/why-we-need-asm-and-what-should-be-considered/?lang=ja&ts=markdown)  
[](mailto:?subject=ASMの必要性とその先のケア)  
Link copied  
By [Daisuke Terauchi](https://www.paloaltonetworks.com/blog/author/daisuke-terauchi/?lang=ja&ts=markdown "Posts by Daisuke Terauchi")  
Jun 14, 2023  
1 minutes  
[Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown)  
[Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown)  
[Secure the Cloud](https://www.paloaltonetworks.com/blog/category/secure-the-cloud-2/?lang=ja&ts=markdown)  
[Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown)  
[Secure the Future](https://www.paloaltonetworks.com/blog/category/secure-the-future-2/?lang=ja&ts=markdown)  
[Threat Prevention](https://www.paloaltonetworks.com/blog/category/threat-prevention/?lang=ja&ts=markdown)  
[ASM](https://www.paloaltonetworks.com/blog/tag/asm-ja/?lang=ja&ts=markdown)  
[Attack Surface Management](https://www.paloaltonetworks.com/blog/tag/attack-surface-management-ja/?lang=ja&ts=markdown)  
[Cortex Xpanse](https://www.paloaltonetworks.com/blog/tag/cortex-xpanse-ja/?lang=ja&ts=markdown)  
[SE monthly series](https://www.paloaltonetworks.com/blog/tag/se-monthly-series/?lang=ja&ts=markdown)

## はじめに

皆さんはAttack Surface Management (ASM: 攻撃対象領域管理)がなぜ必要なのかと聞かれたら、きちんと説明できるでしょうか。

この話をするとき、よく話題にのぼるのがペネトレーション テスト(PENテスト)との比較です。ただし、ペネトレーションテストとASMには、大きく分けて2つの観点から後述する明確な違いがあります。

そこで本稿は現在ASMを検討中の皆さんに、「ASMとPENテストはどこが違うのか」、「なぜASMが必要なのか」、「利用開始後の運用設計方針で見逃してはいけないポイントは何か」を解説します。

## ASMとPENテストはどこが違うのか

### 検査の対象が違う: ASMは「社内で把握されていない」資産も検査の対象

1つめの違いは対象の違いです。

PENテストの場合、すでに把握されている決まったシステムを対象として、そのシステムを侵害する経路が見つかるかどうかをテストします。これに対しASMは、社外に晒されている資産を洗い出し、それらのIT資産の脆弱性の有無を確認するもので、この検査対象には、IT管理者が把握していない資産も含まれる場合があります。

こうしたIT管理者に把握されていない、適切なケアやメンテナンスがされていないシステムは、攻撃者にとっては格好のターゲットです。

管理者が把握していないIT資産が侵害されたとき、「知らなかったから組織の責任ではない」という言い訳は通らないと考える必要があります。たとえば「マーケティング部門が販促キャンペーンでIT管理者の許可を得ずにクラウドストレージサービスをセキュリティの不十分な状態で使いはじめた。そこに顧客の個人情報をコピーしたが、キャンペーンが終わるとそのことを忘れてアカウントを放置してしまった。のちにそのクレデンシャルが侵害されて顧客情報が漏えいし、顧客のクレジットカード不正利用被害が発生した」というケースを考えてみましょう。そうしたケースでは、ミスをした個人のみならず組織が「使用者責任」を問われ、民事上では損害賠償や謝罪金、刑事上ではなんらかの罰則が科される可能性があります。

これこそが**ASMが必要**といえる理由の1つめです。

### 時間軸が違う: ASMは単発ではなく継続的に診断する

2つめの違いは時間軸の違いです。

PENテストは、基本的に単発で行われます。定期的に実行された場合でもそのインターバルは、月単位や年単位など、かなり長いものになるでしょう。これに対しASMは、継続的に繰り返し実施(弊社製品Xpanseの場合少なくとも1日1回は診断)されます。継続的に実施されるASMであれば、昨日はまだ見つかっていなかったゼロデイにも今日最短で対応できることになります。現代のサイバー攻撃の状況に照らし、この時間軸の違いがもたらす意味を考えれば、ASMの必要性、重要性が見えてくるのではないでしょうか。

## なぜASMが必要なのか

### 発見された脆弱性が悪用されるまでの時間は極めて短い

弊社の[2021年調査結果](https://start.paloaltonetworks.jp/asm-report)によれば、2021年の時点でインターネットに公開されたシステムの脆弱性を手動で探索し、スキャンし、悪用の可否を調査するのに要する時間は45分未満でした。攻撃者は分業体制でツールも活用しており、注目を集めた脆弱性のなかには、公開後たった5分で大規模なスキャンが始まったケースもあります。とくにターゲットの偵察フェーズでは、ツールによる自動化が行われやすくなっています。

ここから、現代のサイバー攻撃対策として**PENテストを定期的に実施するだけでは不十分** で、継続的に実施される**ASMが必要**が必要、という結論になります。

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2023/06/word-image-295622-1.png)

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2023/06/word-image-295622-2.png)

## ASMで発見される問題の例

では実際に弊社のASMソリューション、Cortex Xpanseの試用時によく見つかる問題の例を見てみましょう。

### RDPサービス

ASMは管理者の把握していない問題も含め、さまざまな問題を発見してくれます。なかでもよく見つかるのがRDPサービスの脆弱性です。

Cortex Xpanse の場合、脆弱性の可視化後に、さまざまな対策を柔軟に選べます。たとえばRDP サービスの脆弱性が見つかった場合、次の4つの対策から自社の状況に合ったものを選ぶことができます。

1. 手動対応
2. 自動ポート遮断
3. チケット発行
4. メール通知

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2023/06/word-image-295622-3.png)

### PHPサービス

インシデントから資産(アセット)の詳細を把握する場面でも、問題が見つかることがあります。なかでもPHPサービスに関する問題はよく見つかる問題の1つです。PHPはサーバーサイドで使われることの多いスクリプト言語ですが、サポート終了バージョンが継続的に使われてしまうケースが多く、これはセキュリティの観点から好ましくありません。そこで、セキュリティ脆弱性のパッチを適用すべきバージョンかどうかを、ASMで発見・確認することで、安全なサイトやアプリケーションの運用につなげることができます。

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2023/06/word-image-295622-4.png)

### よく見つかる問題トップ10

ご参考までに、RDPやPHPを含め、試用でよく見つかる問題のトップ10は以下のようになっています。

1. リモート アクセス サービス (RDP、VNC、TeamViewer)
2. セキュアでないファイル共有サービス (SMB、NetBIOS)
3. パッチ未適用の脆弱なシステム、サポート期限切れのシステム
4. 管理者用ポータル
5. 機密情報を含むビジネスアプリケーション (Jenkins、Grafana、Tableau、Splunk、SAPPHIRE NetWeaverなど)
6. 暗号化されていないログイン認証やサービス (Telnet、SMTP、FTP)
7. IoT機器
8. 脆弱または危殆化された暗号の利用
9. 開発環境
10. セキュアでない・放置されたマーケティング用のサービス

![](https://www.paloaltonetworks.com/blog/wp-content/uploads/2023/06/word-image-295622-5.png)

## まとめ

現代のサイバー攻撃対策にはASMが必要です。現代のサイバー攻撃は、管理者が把握していないIT資産をターゲットとし、RaaSを中心とするツールを使って、新たな脆弱性に対する攻撃を、ごく短時間に分業体制で仕掛けてくるからです。これに有効に対応するには、社内で把握されていない資産も検査対象として、単発ではなく継続的に検査を実施する必要があります。それを可能にするのは、PENテストではなくASMです。

ASMの導入にあたっては検討すべき事項がいくつかあります。たとえば情報更新間隔が適正であること、発見後に必要な対策を含めた運用設計、導線がきれいに引けるかどうかなどです。これらの項目を自社の運用状況に照らし、どのようなASMソリューションを採用するかを決めることをお勧めします。

なお、弊社のASMソリューションであるCortex Xpanseは、評価導入(EVAL)を提供しています。「自社にどのような問題があるのかをいちど確認してみたい」と思われましたら、お気軽に[お問い合わせ下さい](mailto:%20infojapan@paloaltonetworks.com)。

*** ** * ** ***

## Related Blogs

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown)

[#### 政府情報システムにおけるセキュリティ・バイ・デザインガイドラインで言及されたアタックサーフェス(攻撃対象領域)の管理](https://www.paloaltonetworks.com/blog/2023/01/attack-surface-government-guidelines/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [Secure the Future](https://www.paloaltonetworks.com/blog/category/secure-the-future-2/?lang=ja&ts=markdown), [Threat Prevention](https://www.paloaltonetworks.com/blog/category/threat-prevention/?lang=ja&ts=markdown)

[#### Precision AI™ と SASE](https://www.paloaltonetworks.com/blog/2024/06/precisionai-sase/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Remote Workforce](https://www.paloaltonetworks.com/blog/category/remote-workforce-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [Secure the Future](https://www.paloaltonetworks.com/blog/category/secure-the-future-2/?lang=ja&ts=markdown)

[#### リモートワークをセキュアにするリモートアクセス環境の作りかた](https://www.paloaltonetworks.com/blog/2023/03/compare-prisma-access-and-onprem-remote-access-vpn/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [Threat Prevention](https://www.paloaltonetworks.com/blog/category/threat-prevention/?lang=ja&ts=markdown)

[#### ネットワークセキュリティのゲームチェンジャーとなるシグネチャに頼らない新しい防御方法](https://www.paloaltonetworks.com/blog/2022/10/game-changing-protection-for-network-security/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Endpoint](https://www.paloaltonetworks.com/blog/category/endpoint/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Cloud](https://www.paloaltonetworks.com/blog/category/secure-the-cloud-2/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown)

[#### Cortex XDRとPrisma Access 連携ソリューションの紹介](https://www.paloaltonetworks.com/blog/2024/02/cortex-xdr-prisma-access-cp2/?lang=ja)

### [Cybersecurity](https://www.paloaltonetworks.com/blog/category/cybersecurity-jp/?lang=ja&ts=markdown), [Products and Services](https://www.paloaltonetworks.com/blog/category/products-and-services-ja/?lang=ja&ts=markdown), [Secure the Enterprise](https://www.paloaltonetworks.com/blog/category/secure-the-enterprise-2/?lang=ja&ts=markdown), [カテゴリーなし](https://www.paloaltonetworks.com/blog/category/%e3%82%ab%e3%83%86%e3%82%b4%e3%83%aa%e3%83%bc%e3%81%aa%e3%81%97/?lang=ko&ts=markdown)

[#### 「運用」はセキュリティ対策の要! Cortex XSOARによるセキュリティ運用の自動化と効率化](https://www.paloaltonetworks.com/blog/2024/01/security-operation-cortex-xsoar/?lang=ja)

### Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.
![spinner](https://www.paloaltonetworks.com/blog/wp-content/themes/panwblog2023/dist/images/ajax-loader.gif) Sign up  
Please enter a valid email.  
By submitting this form, you agree to our [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown) and acknowledge our [Privacy Statement](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown). Please look for a confirmation email from us. If you don't receive it in the next 10 minutes, please check your spam folder.  
This site is protected by reCAPTCHA and the Google [Privacy Policy](https://policies.google.com/privacy) and [Terms of Service](https://policies.google.com/terms) apply.  
{#footer} {#footer}

## Products and Services

* [AI-Powered Network Security Platform](https://www.paloaltonetworks.com/network-security?ts=markdown)

* [Secure AI by Design](https://www.paloaltonetworks.com/precision-ai-security/secure-ai-by-design?ts=markdown)

* [Prisma AIRS](https://www.paloaltonetworks.com/prisma/prisma-ai-runtime-security?ts=markdown)

* [AI Access Security](https://www.paloaltonetworks.com/sase/ai-access-security?ts=markdown)

* [Cloud Delivered Security Services](https://www.paloaltonetworks.com/network-security/security-subscriptions?ts=markdown)

* [Advanced Threat Prevention](https://www.paloaltonetworks.com/network-security/advanced-threat-prevention?ts=markdown)

* [Advanced URL Filtering](https://www.paloaltonetworks.com/network-security/advanced-url-filtering?ts=markdown)

* [Advanced WildFire](https://www.paloaltonetworks.com/network-security/advanced-wildfire?ts=markdown)

* [Advanced DNS Security](https://www.paloaltonetworks.com/network-security/advanced-dns-security?ts=markdown)

* [Enterprise Data Loss Prevention](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Enterprise IoT Security](https://www.paloaltonetworks.com/network-security/enterprise-device-security?ts=markdown)

* [Medical IoT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [Industrial OT Security](https://www.paloaltonetworks.com/network-security/medical-device-security?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [Next-Generation Firewalls](https://www.paloaltonetworks.com/network-security/next-generation-firewall?ts=markdown)

* [Hardware Firewalls](https://www.paloaltonetworks.com/network-security/hardware-firewall-innovations?ts=markdown)

* [Software Firewalls](https://www.paloaltonetworks.com/network-security/software-firewalls?ts=markdown)

* [Strata Cloud Manager](https://www.paloaltonetworks.com/network-security/strata-cloud-manager?ts=markdown)

* [SD-WAN for NGFW](https://www.paloaltonetworks.com/network-security/sd-wan-subscription?ts=markdown)

* [PAN-OS](https://www.paloaltonetworks.com/network-security/pan-os?ts=markdown)

* [Panorama](https://www.paloaltonetworks.com/network-security/panorama?ts=markdown)

* [Secure Access Service Edge](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Prisma SASE](https://www.paloaltonetworks.com/sase?ts=markdown)

* [Application Acceleration](https://www.paloaltonetworks.com/sase/app-acceleration?ts=markdown)

* [Autonomous Digital Experience Management](https://www.paloaltonetworks.com/sase/adem?ts=markdown)

* [Enterprise DLP](https://www.paloaltonetworks.com/sase/enterprise-data-loss-prevention?ts=markdown)

* [Prisma Access](https://www.paloaltonetworks.com/sase/access?ts=markdown)

* [Prisma Browser](https://www.paloaltonetworks.com/sase/prisma-browser?ts=markdown)

* [Prisma SD-WAN](https://www.paloaltonetworks.com/sase/sd-wan?ts=markdown)

* [Remote Browser Isolation](https://www.paloaltonetworks.com/sase/remote-browser-isolation?ts=markdown)

* [SaaS Security](https://www.paloaltonetworks.com/sase/saas-security?ts=markdown)

* [AI-Driven Security Operations Platform](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cloud Security](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Cortex Cloud](https://www.paloaltonetworks.com/cortex/cloud?ts=markdown)

* [Application Security](https://www.paloaltonetworks.com/cortex/cloud/application-security?ts=markdown)

* [Cloud Posture Security](https://www.paloaltonetworks.com/cortex/cloud/cloud-posture-security?ts=markdown)

* [Cloud Runtime Security](https://www.paloaltonetworks.com/cortex/cloud/runtime-security?ts=markdown)

* [Prisma Cloud](https://www.paloaltonetworks.com/prisma/cloud?ts=markdown)

* [AI-Driven SOC](https://www.paloaltonetworks.com/cortex?ts=markdown)

* [Cortex XSIAM](https://www.paloaltonetworks.com/cortex/cortex-xsiam?ts=markdown)

* [Cortex XDR](https://www.paloaltonetworks.com/cortex/cortex-xdr?ts=markdown)

* [Cortex XSOAR](https://www.paloaltonetworks.com/cortex/cortex-xsoar?ts=markdown)

* [Cortex Xpanse](https://www.paloaltonetworks.com/cortex/cortex-xpanse?ts=markdown)

* [Unit 42 Managed Detection \& Response](https://www.paloaltonetworks.com/cortex/managed-detection-and-response?ts=markdown)

* [Managed XSIAM](https://www.paloaltonetworks.com/cortex/managed-xsiam?ts=markdown)

* [Threat Intel and Incident Response Services](https://www.paloaltonetworks.com/unit42?ts=markdown)

* [Proactive Assessments](https://www.paloaltonetworks.com/unit42/assess?ts=markdown)

* [Incident Response](https://www.paloaltonetworks.com/unit42/respond?ts=markdown)

* [Transform Your Security Strategy](https://www.paloaltonetworks.com/unit42/transform?ts=markdown)

* [Discover Threat Intelligence](https://www.paloaltonetworks.com/unit42/threat-intelligence-partners?ts=markdown)

## Company

* [About Us](https://www.paloaltonetworks.com/about-us?ts=markdown)
* [Careers](https://jobs.paloaltonetworks.com/en/)
* [Contact Us](https://www.paloaltonetworks.com/company/contact-sales?ts=markdown)
* [Corporate Responsibility](https://www.paloaltonetworks.com/about-us/corporate-responsibility?ts=markdown)
* [Customers](https://www.paloaltonetworks.com/customers?ts=markdown)
* [Investor Relations](https://investors.paloaltonetworks.com/)
* [Location](https://www.paloaltonetworks.com/about-us/locations?ts=markdown)
* [Newsroom](https://www.paloaltonetworks.com/company/newsroom?ts=markdown)

## Popular Links

* [Blog](https://www.paloaltonetworks.com/blog/?ts=markdown)
* [Communities](https://www.paloaltonetworks.com/communities?ts=markdown)
* [Content Library](https://www.paloaltonetworks.com/resources?ts=markdown)
* [Cyberpedia](https://www.paloaltonetworks.com/cyberpedia?ts=markdown)
* [Event Center](https://events.paloaltonetworks.com/)
* [Manage Email Preferences](https://start.paloaltonetworks.com/preference-center)
* [Products A-Z](https://www.paloaltonetworks.com/products/products-a-z?ts=markdown)
* [Product Certifications](https://www.paloaltonetworks.com/legal-notices/trust-center/compliance?ts=markdown)
* [Report a Vulnerability](https://www.paloaltonetworks.com/security-disclosure?ts=markdown)
* [Sitemap](https://www.paloaltonetworks.com/sitemap?ts=markdown)
* [Tech Docs](https://docs.paloaltonetworks.com/)
* [Unit 42](https://unit42.paloaltonetworks.com/)
* [Do Not Sell or Share My Personal Information](https://panwedd.exterro.net/portal/dsar.htm?target=panwedd)
  ![PAN logo](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/pan-logo-dark.svg)
* [Privacy](https://www.paloaltonetworks.com/legal-notices/privacy?ts=markdown)
* [Trust Center](https://www.paloaltonetworks.com/legal-notices/trust-center?ts=markdown)
* [Terms of Use](https://www.paloaltonetworks.com/legal-notices/terms-of-use?ts=markdown)
* [Documents](https://www.paloaltonetworks.com/legal?ts=markdown)

Copyright © 2026 Palo Alto Networks. All Rights Reserved

* [![Youtube](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/youtube-black.svg)](https://www.youtube.com/user/paloaltonetworks)
* [![Podcast](https://www.paloaltonetworks.com/content/dam/pan/en_US/images/icons/podcast.svg)](https://www.paloaltonetworks.com/podcasts/threat-vector?ts=markdown)
* [![Facebook](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/facebook-black.svg)](https://www.facebook.com/PaloAltoNetworks/)
* [![LinkedIn](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/linkedin-black.svg)](https://www.linkedin.com/company/palo-alto-networks)
* [![Twitter](https://www.paloaltonetworks.com/etc/clientlibs/clean/imgs/social/twitter-x-black.svg)](https://twitter.com/PaloAltoNtwks)
* EN  
  Select your language