クラウドストライク2026年版グローバル脅威レポートエグゼクティブサマリー:AI時代に必読の脅威インテリジェンスレポート
ダウンロード

EASM(外部攻撃対象領域管理) とは何ですか?(英語)

EASM(外部攻撃対象領域管理) とは、組織の外部攻撃対象領域の攻撃ベクトルを継続的に検出、モニタリング、評価、優先順位付け、修復することを言います。外部攻撃対象領域(デジタル攻撃対象領域とも呼ばれます)は、組織のインターネットに公開されているアセットと、攻撃時に悪用される可能性がある関連する攻撃ベクトルを合わせたものです。

インターネットに公開されているアセットには、ドメイン名、SSL証明書、プロトコルから、オペレーティングシステム、サーバー、IoTデバイス、ネットワークサービスまでのあらゆるものが含まれます。これらのアセットは、オンプレミス、クラウド環境、サードパーティベンダーに分散しており、最も簡単に内部ネットワークや機密データにアクセスできる方法となります。

この10年間で、組織の内部ネットワークとインターネット間の通信を促進するために、パブリックIPアドレスの数が増え続けています。このようなIPアドレスの中には正式に登録されているものもありますが、大半は未登録で一時的なものです。現在、組織の外部攻撃対象領域は組織が把握しているネットワーク範囲を超えて広がっており、その多くにサードパーティベンダーが管理するアセットが含まれます。

外部攻撃対象領域のマッピングに関する主な課題

クラウドへの移行とITの民主化はいずれも、現場に新たな現実をもたらしました。ほとんどの組織に重大な盲点が存在し、組織はシャドーITとインターネットに露出しているアセットを完全に可視化できていません。従来のツールで得られる可視性によって外部攻撃対象領域をマッピングするのは、ほぼ不可能です。その理由を以下で説明します。

分散されたITエコシステム

組織のネットワーク境界が明確に定義されていた時代はもはや遠い昔です。現在、アセットはどこにでもあります。コアネットワークに加え、支店や子会社があり、共に働くサードパーティのホスティングプロバイダーやビジネスパートナーがいます。そのすべてが、会社のネットワークに接続しています。組織のファイアウォール外でホストされるアセットが増えるにつれ、それらのアセットを効率的に管理し、モニタリングすることが著しく困難になっています。

サイロ化されたチーム

組織内の複数のチームが、インターネットに接続されたアセットを扱っています。ITマネージャー、ネットワークエンジニア、DevOps、マーケティングは、そのほんの一部です。これらのチームはしばしば、迅速に結果を出す必要性とITおよびセキュリティポリシーを遵守する必要性との間で板挟みになります。非公式のクラウドインスタンス、未証明のWebサイトやその他のアセットの多くは、公式のチャネルを経由せずに作成されます。

絶えず変化する外部攻撃対象領域

組織のIPアドレスの80%~95%は一時的なものであるため、従来の方法を使用してインターネットに公開されているインベントリーを追跡するのはほぼ不可能です。それに加えて、外部攻撃対象領域が頻繁に変化するという別の問題もあります。間違ったボタンをちょっとクリックしただけで、意図せずにアセットがWebに露出し、リスクをもたらす可能性があります。

アセットの露出と認識度および可視性別のリスク

攻撃対象領域を完全に可視化できない場合のリスク

Verizonが発表した最新のデータ侵害レポートによると、攻撃の70%は外部の脅威アクターによって実行されています。このような攻撃者は、企業が保護せずに放置している、悪用可能なネットワーク境界の弱点を明確に見抜いています。Reposifyのデータによれば、組織は平均で、インターネットに接続されているアセットの64%を把握していないため、これは驚くべきことではありません。

2016年にGartnerは、2020年までには、企業に対して成功する攻撃の30%がシャドーITリソースに対する攻撃になると予想しました。クラウドストライクの最新の分析では、2019年に成功した攻撃の約38%が、シャドーIT、設定ミス、および組織が攻撃対象領域をより明確に把握できていれば防ぐことができたインターネットへの未知の露出が原因で起こっていました。

EASM(外部攻撃対象領域管理)ソリューションはどのように役立つか

外部攻撃対象領域管理とは単純に、境界のないネットワークを大規模に検出、管理、モニタリングするための唯一の方法です。シャドーITが蔓延し、人為的ミスが避けられないことから、外部攻撃対象領域管理が注目を集め、攻撃対象領域の管理と削減の専任チームを設ける企業が増えています。

未知のリスクと露出をリアルタイムで特定する

完全なアセットインベントリーを自動的に生成し、組織が把握していないアセットを検出します。新たな露出、脆弱性、その他のセキュリティの問題が発生した場合に通知を受け取ります。

オペレーションのむだをなくす

リスクの自動優先順位付けと組み込みの修復提案によって、貴重な時間を節約し、最も重要な業務に専念できます。検出結果を社内チームおよびサードパーティベンダーと簡単に共有できるので、業務効率が向上し、チーム全員の認識を揃えることができます。

既存のセキュリティスタックを有効活用する

存在していることを知らないアセットに対して脆弱性スキャナーや侵入テストを実施することはできません。すべてのアセットの最新状態を常に把握することで、現在使用しているツールを最大限に活用できます。

ITおよびセキュリティコストの最適化

レガシーシステム、使用されていないツールやサーバーを洗い出して、膨れ上がるITコストを削減し、貴重な時間を節約して、手動作業をなくします。

EASM(外部攻撃対象領域管理)ソリューションの重要な要素

1. 自律的な露出アセットインベントリーの生成

アセットが既知であるか未知であるかにかかわらず、すべての環境およびサプライチェーンのすべての露出アセットを自動的に検知します。

2. ビジネスコンテキストのインサイト

各露出アセットが属する事業部門、子会社、またはサードパーティベンダーと、そのアセットがコアネットワークとどのように接続されているかを明確に把握できます。

3. アセットの自動分類

すべての露出アセットをカテゴリ別、プラットフォーム別、およびサービスタイプ別に即時に確認できます。

4. 外部サーフェスの継続的なモニタリング

ビジネスコンテキストに基づいてセキュリティインサイトが生成され、リスクに優先順位が付けられるので、目の前の最も重要なタスクに専念できます。

ロナ・ケドミ(Rona Kedmi)は、クラウドストライクのシニアプロダクトマーケターで、外部攻撃対象領域管理(EASM)とエクスポージャー管理を専門としています。サイバーセキュリティに関する豊富なバックグラウンドを持っており、データ保護、ネットワークセキュリティ、攻撃対象領域管理、および自動車サイバーセキュリティ保護のスキルを磨いてきました。クラウドストライクに入社する前は、イスラエルのB2B SaaSのスタートアップ企業でさまざまなマーケティング職を担当しました。同氏は、国際関係学の学士号、コミュニケーション学の修士号、マーケティングマネジメントを中心とした経営学修士号を取得しています。すべてエルサレムのヘブライ大学から優等な成績で取得しています。