令和４年度サプライチェーン・サイバーセキュリティ対策促進事業（外部から把握できる情報の活用に関する調査）最終報告書

この報告は、サプライチェーン・サイバーセキュリティ対策におけるAttack Surface Management（ASM）ツール・サービスの活用に関する調査について書かれた報告書である。経済産業省が実施した令和4年度事業として、デロイトトーマツサイバー合同会社が外部から把握できる情報の活用について包括的な調査を行った。

報告書では、ASMの定義について、NISTやCISAなどの公的機関による標準的な定義を整理し、システムの境界における攻撃可能なポイントの集合として位置づけている。調査は3つの主要な柱から構成されており、まず企業におけるASMツール・サービスの活用実態について事前調査とヒアリング調査を実施した。20社を対象としたヒアリング調査では、ASM導入状況、導入背景、目的、評価について詳細な分析を行い、全体傾向として導入企業の課題と成果を明らかにした。

特に重要な知見として、グループ会社のガバナンス、IT資産を管理する組織の特定、ASMツールの結果解釈、ASMに対する認識、ツール・サービスの選択という5つの主要課題が浮き彫りになった。これらの課題に対応するため、組織がASMを効果的に活用するためのガイダンスを作成し、実践的な指針を提供している。

さらに、実環境におけるASMツール・サービスの調査として、Shodan、Karma、Maltego、CyCognito、Mandiant ASMなど複数のツールを用いた検証を実施した。調査手法の決定からリスク評価基準の設定、実際の機能調査まで体系的に行い、各ツールの特徴と高度な利用方法について検証した。これにより、組織が自社の攻撃対象領域を適切に把握し、効果的なセキュリティ対策を講じるための実用的な知見を提供している。