この記事のポイント
- ASM の KPI は検出件数より、対応時間、再発、owner 未設定、accepted risk の残り方を見る方が改善につながります。
- daily / weekly / monthly / quarterly の cadence を固定すると、triage、ticket、review が崩れにくくなります。
- 定例レビューは件数共有ではなく、何が詰まり、次に何を変えるかを決める場として設計するべきです。
まず無料で確認する
無料でASM診断を開始
ASM 運用 KPIで触れている論点は、自社ドメインを実際に診断すると優先順位が掴みやすくなります。まずは外部公開資産を無料で可視化してください。
ASM運用フローとは何か
ASM 運用フローは、見つけた公開面を owner と ticket と review へ戻し、改善を回し続ける仕組みとして設計するのが本質です。
ASM 運用フローとは、outside-in で見つけた公開面の変化やリスクを、単発の発見で終わらせず、triage -> owner 決定 -> ticket 化 -> 再確認 -> 定例レビューまでつなげる一連の運用です。ここでいう outside-in は、社内台帳ではなく「インターネットから実際にどう見えているか」を基準に公開面を見る考え方です。攻撃者は CMDB や運用台帳を見てくれるわけではないので、ASM でも最後は outside-in の事実へ戻る必要があります。
脆弱性管理や監視運用と似て見えますが、ASM の特徴は台帳外の変化まで拾いやすいことにあります。放置サブドメイン、古い証明書を返す経路、owner が曖昧な公開面、別チームが作った検証環境などは、社内台帳の論理だけでは追い切れません。ASM 運用フローは、こうした差分を見つけるだけでなく、戻し先を決めて閉じるところまで設計して初めて機能します。
検出と運用は何が違うのか
検出は「今こう見えている」という事実を出す工程です。一方の運用は、「その事実を誰が引き取り、どう期限を置き、どこで再確認し、いつ振り返るか」を決める工程です。多くのチームが崩れるのは、finding 一覧を配った時点で「運用できている」と感じてしまうからです。実際には、一覧があっても owner が決まっていなければ何も進みませんし、owner が決まっていても再確認条件がなければ「閉じたつもり」で終わります。
検出
『今こう見えている』を出す工程
公開面の差分と証拠を出すだけでは、まだ業務の単位に変換されていません。
- 差分や finding を一覧化する
- 証拠や観測結果をそろえる
- リスクの存在を可視化する
運用
『誰がいつまでにどう閉じるか』を決める工程
発見された事実を、担当、期限、再確認条件つきの仕事へ翻訳した状態です。
- asset、事業影響、owner、期限を固定する
- ticket 化して weekly review に戻す
- outside-in で閉じたことを再確認する
運用で必要なのは、発見された事実を業務の単位へ変換することです。つまり、「どの資産に関するものか」「事業影響は何か」「誰が直すか」「いつまでに直すか」「外から見て閉じたと判断する条件は何か」へ翻訳することです。この翻訳を毎回属人的にやっていると、月次レビューのたびに基準が変わり、KPI も比較不能になります。
発見から review までを 1 本で考える
実務で崩れにくいのは、発見 -> triage -> ticket -> 再確認 -> reviewの 5 段階を明示的に固定するやり方です。発見では差分と証拠をそろえます。triage では severity、事業影響、owner 候補、緊急度を整理します。ticket では担当、期限、対応方針を固定します。再確認では「チケット上は完了」ではなく「outside-in でも状態が変わった」ことを確かめます。review では新規、再発、未対応、owner 未設定、accepted riskの残り方を確認し、次月へ引き継ぎます。
この 5 段階を一本化して考えると、triage までの時間、ticket 起票までの時間、再確認完了までの時間、未対応 aging、再発率といった指標も定義しやすくなります。逆に、運用フローが曖昧なまま KPI を先に作っても、計測だけが先行して改善へつながりません。
なぜ検出件数だけでは運用が崩れるのか
ASM の KPI を件数だけで追うと、ほぼ確実に運用が歪みます。件数は、公開面の広さ、seed の増え方、発見精度、クロール範囲の変化、M&A や委託先統合でも増減するからです。特に導入初期は見える範囲が広がるため、件数は一時的に増えやすくなります。それをそのまま「悪化」と解釈すると、発見精度を下げる方向へ振れてしまいます。
件数は広さを示しても改善を示さない
件数が意味を持つのは、同じスコープ、同じ分類、同じ検出ルールで比較した場合に限られます。実際の ASM 運用では、対象ドメインが増えたり、seed が追加されたり、DNS / TLS / screenshot / HTML の観測粒度が増えたりして、前提がすぐ変わります。そうすると件数は「今どれくらい見えているか」の粗い目安にはなっても、「改善しているか」を示す指標としては弱くなります。
さらに厄介なのは、件数だけを見る文化ができると、現場が「減らしやすい数字」に寄り始めることです。accepted riskを増やして backlog から外す、severity を下げて見かけ上減らす、同じ再発を別 ticket に分けて見えにくくする、といった振る舞いが起きやすくなります。これでは数字がきれいでも、露出リスクは減りません。
新規 / 再発 / 未対応 / owner 未設定 を分けて見る
ASM の運用では、まず finding を新規、再発、未対応、owner 未設定の 4 つに分けて見ると判断しやすくなります。この分類が重要なのは、増えている理由と打ち手がそれぞれ違うからです。
| 分類 | 意味 | 次に疑うこと |
|---|---|---|
| 新規 | 最近増えた公開面や差分 | change 管理、onboarding、公開前レビューの不足 |
| 再発 | 一度閉じたものが戻ってきた状態 | runbook 不足、恒久対策不足、再確認不足 |
| 未対応 | 優先度を付けたのに残っている状態 | 処理能力不足、due date 設計の甘さ、判断停滞 |
| owner 未設定 | 誰が引き取るか曖昧な公開面 | 責任分界不明、委託先管理不備、M&A 統合不足 |
新規が多いなら change 管理や onboarding を見直す必要があります。再発が多いなら runbook やテンプレートの不足が疑われます。未対応が増えているなら、レビュー会での意思決定が弱いか、ticket の優先順位が崩れています。owner 未設定が残っているなら、技術以前にドメイン責任や委託先境界の整理が詰まっています。件数の合計だけでは、この差が見えません。
ASMのKPIはどう設計するべきか
ASM の KPI は、少ないほうが回ります。最初から十数個を追うより、「この数字が悪化したら次に何を変えるか」が即答できるものを 4 〜 6 個へ絞るほうが運用に乗ります。NIST SP 800-55 Vol.1 も、指標を選ぶときは優先順位付けと評価方法を明確にするよう求めています。つまり「何を測るか」だけでなく「どう判断に使うか」を定義しておくべきです。
high / critical の平均対応時間
本当に優先度どおり動けているかを見る最初の指標です。triage の遅れや担当過多が表れやすくなります。
再発率
一度閉じた問題が戻っていないかを見ます。恒久対策、標準化、再確認の弱さを見つけやすい指標です。
owner 未設定率
誰が引き取るか曖昧な公開面が残っていないかを確認できます。責任分界の問題を表に出しやすくなります。
accepted risk 残数と aging
例外扱いが積み上がっていないかを見るためです。判断の先送りが backlog に埋もれるのを防げます。
新規 / 再発 / 未対応 の構成比
何がボトルネックかを分類して見られます。変化管理不足か、運用再現性不足か、処理能力不足かを切り分けやすくなります。
大事なのは、各 KPI に閾値と次のアクションをひもづけることです。たとえば high / critical の平均対応時間が 14 日を超えたら weekly review で overdue ticket を一段引き上げる。owner 未設定率が 5% を超えたら monthly review で担当部門の棚卸しを議題にする。30 日超のaccepted riskは quarterly review で再審査する。こうして初めて、KPI が報告用の数字ではなく運用の舵になります。
経営向け指標と実務向け指標を分ける
同じ KPI をそのまま経営層と実務担当へ見せる必要はありません。経営向けでは、高優先度 backlog の推移、平均対応時間、再発率、accepted risk 残数のように、リスクと改善速度が見える指標が向いています。実務向けでは、「どの asset で」「どの owner に」「どの期限で」「どの根拠があるか」まで落ちているほうが使いやすいです。
この分離は、セキュリティレポートテンプレートのsummary と appendix を分ける考え方と相性が良いです。会議の冒頭に全 asset の詳細を並べるのではなく、「今月の変化」と「意思決定が必要な点」を先に示し、その裏側に実務用の詳細を置くほうが運用は定着します。
accepted risk と false positive をどう扱うか
accepted riskは「見なかったことにする」ための箱ではありません。期限付きで、誰が、どの理由で、いつ再評価するかを残すべきです。指標から永久に消すのではなく、別枠で aging を追う必要があります。そうしないと、月次レビューの資料だけがきれいになって、実態が見えなくなります。
false positiveも同様です。単に close するのではなく、「なぜ false positive と判断したか」「次回同じ判定を早くできる条件は何か」を残すと triage が速くなります。証拠が弱い状態で close すると、再発時に同じ議論を繰り返します。
KPI をレポートで終わらせない
無料で公開面を確認し、行動を変える指標だけに絞ってください
件数の多さではなく、対応時間、再発、owner 未設定、accepted risk の残り方を見ると、weekly review で変えるべき論点が見えやすくなります。
daily・weekly・monthly・quarterly の運用フロー
ASM を本当に回したいなら、運用頻度を先に固定したほうがよいです。全部を毎日見る必要はありません。むしろdaily / weekly / monthly / quarterlyに役割を分けたほうが続きます。daily は重大差分の初動、weekly は triage と ticket の滞留整理、monthly は review と summary、quarterly は KPI と rule 自体の見直し、と分けると実務が軽くなります。
新規 high / critical と重大差分だけを見る
新規の high / critical、急に増えた exposed service、owner 不明のまま現れた公開面、期限超過した重大 ticket、突然再発した finding など、放置コストの高い差分へ絞ります。daily は会議ではなく、10〜15 分で初動判断する時間です。
成果物: 当日エスカレーションと即時起票triage と ticket 停滞を捌く
新規 finding の owner を付ける、severity を見直す、evidence 不足を保留にする、due date を切る、再確認待ちを棚卸しする、といった『仕事へ変換する』工程を回します。特に新規 high / critical、期限超過、再発、owner 未設定の 4 点を毎週整理すると崩れにくくなります。
成果物: owner 付き ticket と期限整理KPI と review を回し、次月アクションを決める
月次レビューは件数を読み上げる場ではなく、先月と比べて何が悪化し、何を変えるかを決める場です。agenda を新規、再発、未対応、owner 未設定、accepted risk、次月の重点対応に固定すると、summary と appendix の二層構造を作りやすくなります。
成果物: 月次 summary と次月アクションrisk type と運用ルール自体を見直す
どのカテゴリが再発しやすいか、accepted risk がどの部門に偏っているか、owner 未設定がどの資産タイプで残りやすいか、monthly review で決めた改善が本当に減少へつながったかを見ます。個別 finding より、運用設計そのものを見直す時間です。
成果物: KPI 閾値、runbook、review ルールの更新少人数チームでも、この cadence を固定するだけでかなり楽になります。最初は 1 ドメイン、high / critical のみ、monthly review 1 本でも十分です。運用フローは大きく始めるより、小さく固定して増やすほうが成功します。証明書や DNS を含む公開面の変化を追う感覚は、SSL証明書の期限監視の記事と並べると実務へ落としやすくなります。
triage とチケット運用をどうつなぐか
ASM で最も実務差が出るのは triage と ticket の間です。ここが弱いと、finding はたくさんあるのに remediation が進みません。逆にここが固いと、少人数でも運用が回り始めます。ticket 化の目的は、一覧の中から「誰が、いつまでに、何を、どの証拠を根拠に」やるかを固定することです。
severity, evidence, owner, due date を最初に固定する
最低限、ticket 化の時点で必要なのはseverity、evidence、owner、due dateです。できればbusiness impactとrecheck conditionも入れたいです。severity は緊急度、evidence は根拠、owner は戻し先、due date は期限、recheck condition は閉じる条件です。この 5 つがない ticket は、誰も動きにくくなります。
Jira / ServiceNow のどちらでも崩れない ticket 項目
Jira と ServiceNow のどちらを使うかは本質ではありません。重要なのは、どちらでも同じ意味を持つ項目設計です。実務で崩れにくい ticket 項目は、少なくとも次の 6 つです。
| 項目 | 理由 |
|---|---|
| Asset / FQDN / IP / certificate などの対象 | 何を直すのかを曖昧にしないため |
| Risk category / severity | triage と優先度判断を揃えるため |
| Evidence | 再現性と再確認性を持たせるため |
| Owner / team | 誰が引き取るかを固定するため |
| Due date / SLA | aging を追うため |
| Recheck condition / accepted risk reason | close の条件と例外理由をぶらさないため |
重要なのはツール名より、項目の意味をそろえることです。証拠の弱いチケット、owner が空欄のチケット、期限のないチケットは、どの製品でも止まります。逆に項目設計が揃っていれば、チームやツールが変わっても運用ルールを保ちやすくなります。
再確認まで閉じない運用にする
ticket が「修正依頼を出した」で閉じる運用は危険です。ASM では、外から見える状態が本当に変わったかが重要だからです。設定変更や削除が完了したと聞いても、古い経路や別ドメイン、CDN、キャッシュ、残骸が残ることは珍しくありません。再確認のない close は、翌月の再発率を押し上げます。
だから ticket の定義には、必ず「外から見てどうなったら close か」を含めるべきです。露出リスクなら outside-in で該当 path が消えていること、証明書なら外部観測で新証明書が出ていること、DNS なら解決先が変わっていることを確認してから閉じます。この最後の一手間を省かないことが、ASM 運用の再現性を作ります。
定例レビューは何を議論する場にするべきか
定例レビューがただの件数共有で終わると、ASM はすぐ形骸化します。レビューでやるべきなのは、「何件見つかったか」ではなく、「どこに詰まりがあり、来月何を変えるか」を決めることです。現状把握と改善決定の両方を担う場として設計したほうが、monthly review は長く続きます。
agenda を新規 / 再発 / 未対応 / owner 不明 に固定する
monthly review の agenda は毎回固定したほうがよいです。おすすめは新規、再発、未対応、owner 不明、accepted risk、次月の重点対応の 6 本です。これならどの月でも比較できますし、会議がその場の雑談で終わりにくくなります。
新規では、どの exposure が今月追加されたか。再発では、なぜ戻ってきたか。未対応では、期限超過の理由は何か。owner 不明では、組織と委託先のどこが曖昧か。accepted risk では、理由と再評価期限が妥当か。こうして質問の型をそろえると、レビューの品質が上がります。
summary と appendix を分けて配る
summary には、今月の主要変化、KPI、意思決定が必要な点、次月の重点対応を載せます。appendix には asset 単位の詳細、evidence、ticket 状態、accepted riskの理由、false positive判定理由を残します。この二層に分けると、経営層と実務担当の両方が使いやすくなります。
報告資料の型を固めたいなら、セキュリティレポートテンプレートがそのままつながります。ひとつの資料に全部を詰め込むより、summary で判断し、appendix で動ける構造のほうが review は速くなります。
会議で決まったことを次の ticket に戻す
review の最大の価値は、判断を次の行動に変えることです。会議で「来月までに owner 不明資産を減らそう」と言って終わるのではなく、誰が何をいつまでにやるかをその場で ticket へ戻す必要があります。ここが曖昧だと、翌月の review で同じ話をします。
実務では、review の最後に新規 ticket、期限変更、accepted risk の再評価、rule / runbook 更新の 4 種だけを明示的に記録すると回しやすくなります。ticket だけでなく runbook 更新も残すことで、再発率を下げやすくなります。
失敗しやすいASM運用パターン
ASM 運用は、技術的な難しさより「見え方」と「戻し方」の設計で失敗します。導入直後は成果を示したくなるので、件数やスクリーンショットの派手さに寄りがちです。しかし、長く回る運用はもっと地味です。遅れている ticket を減らし、owner 不明をなくし、再発を下げるような地味な改善が積み上がって初めて、attack surface は縮みます。
検出件数の多さを成功と誤解する
発見数が多いことは、可視化が進んだ可能性を示しますが、そのまま成功ではありません。むしろ初期は、検出数が増えた状態をどう扱うかが運用設計の本番です。大量の finding を前にすると、現場は「減らすこと」自体を目的化しやすくなります。その結果、severity の緩和やaccepted riskの乱用が起き、数字は下がってもリスクは減らない状態に陥ります。
accepted risk を放置して見えなくする
accepted riskは必要な概念ですが、見えない箱に入れると運用を壊します。本来は、「現時点では修正コストや業務影響の都合で受け入れるが、いつ再評価するかは決めてある状態」であるべきです。再評価日や business owner がなければ、それは accepted risk ではなく未管理 backlog です。
担当不明のまま monthly review だけ回す
monthly review が成立しているように見えても、owner 不明の項目が毎月残るなら、運用は定着していません。review は回っていても remediation が回っていないからです。特に、複数ブランド、子会社、委託先、M&A 後の資産が混ざる組織では、この問題が起きやすくなります。owner 不明は技術課題ではなく、責任分界の課題として扱うべきです。
ガバナンス寄りの整理が必要なら、ISMSで外部公開資産をどう管理するかと併せて読むと、KPI と監査説明のつながりを作りやすくなります。
ASM運用フローなら ASM診断 PRO
ASM 運用を定着させるときに難しいのは、見つけることより運用のハブを作ることです。ticket に戻す前提で証拠をそろえ、monthly review で使える形にまとめ、再確認の事実まで残せる状態でなければ、検出の価値が活きません。ASM診断 PRO は outside-in の公開面を軸に、差分、evidence、レポートを同じ文脈で扱いやすい点が運用フローに向いています。
特に導入初期は、「全部を自動化する」より、「どの finding を weekly で見て、どれを monthly で報告し、どこまでをaccepted riskにするか」を小さく回せることが重要です。ASM診断 PRO を使うと、公開面の変化を事実として捉えやすく、Security レポートや運用会議へつなぐ土台を作りやすくなります。PoC で 1 ドメインから始め、high / critical を 1〜3 件だけ ticket 化し、再確認まで回すところから始めるのが実務的です。
また、運用が詰まりやすいのはowner 未設定、再発、期限超過、accepted riskの扱いです。ASM診断 PRO を単なる可視化ツールとして使うのではなく、「evidence を持って weekly review にかけるための基礎データ」と位置づけると、導入効果が出やすくなります。導入後の運用で重要なのは、きれいなダッシュボードより、誰に戻せる情報があるかです。機能の全体像は機能解説から確認できます。
| 比較軸 | 手作業 | 脆弱性管理だけ | ASM診断 PRO |
|---|---|---|---|
| outside-in の公開面把握 | 担当者依存で漏れやすい | 資産外の露出が薄い | 変化を運用前提で拾いやすい |
| evidence の取り回し | 資料ごとに散らばりやすい | finding ごとに断片化しやすい | review と report に戻しやすい |
| KPI / review への接続 | 手作業で再集計が必要 | 脆弱性中心に偏りやすい | 公開面の運用 KPI に落としやすい |
| small team での運用 | 継続しにくい | 対象が偏りやすい | 小さく始めて cadence を作りやすい |
「運用フローを作る前にまず検出を増やす」のではなく、「weekly / monthly で回せる最小単位の運用を先に作り、その中で検出を使う」と考えると、ASM は定着しやすくなります。台帳更新まで含めて整えたい場合は、外部公開資産台帳テンプレートも合わせると、owner と evidence の戻し先を作りやすくなります。
weekly review の基準線を作る
無料で公開面を見える化し、運用フローの起点を固めてください
ASM の KPI は、何が見つかったかより、何を誰へ戻せるかで効き方が変わります。まず outside-in の公開面を確認し、daily / weekly / monthly の cadence を乗せる基準線を作ってください。
よくある質問(FAQ)
ASM の KPI は何個くらい持つべきですか
最初は 4〜6 個で十分です。平均対応時間、再発率、owner 未設定率、accepted risk 残数、新規 / 再発 / 未対応 の構成比のように、悪化したときに次の行動が決まる指標を優先してください。数を増やしすぎると monthly review が読み上げ会になります。
検出件数は KPI に入れない方がよいですか
完全に捨てる必要はありませんが、主 KPI にはしない方が安全です。件数はスコープや検出粒度の変化で動きやすく、改善そのものを示しません。summary では補足的に見せ、意思決定には対応時間、再発、owner 未設定、accepted riskを使う方が実務的です。
Jira と ServiceNow のどちらで回しても問題ありませんか
問題ありません。重要なのはツール名より、asset、severity、evidence、owner、due date、recheck conditionを ticket に載せることです。Jira でも ServiceNow でも、この項目設計がそろっていれば運用は回ります。
monthly review では誰を入れるべきですか
最低限、ASM を見る担当、修正を引き取るチームの代表、判断権を持つ管理者の 3 役は必要です。さらに owner 不明や委託先管理が多いなら、情シスだけでなく事業部門やベンダー窓口も入れた方がよいです。monthly review は「報告会」ではなく「決める場」にするべきです。
small team でも ASM 運用フローは作れますか
作れます。むしろ少人数ほど、daily / weekly / monthly の役割分担を早く決めた方が楽です。最初は 1 ドメイン、1 本の monthly review、high / critical のみに絞った triage でも十分です。運用フローは大きく始めるより、小さく固定して増やす方が成功します。
まとめ
ASM の KPI は、daily から quarterly までの cadence と ticket 再確認までつながって初めて、次のアクションを変える数字として機能します。
ASM 運用フローの本質は、発見を改善へつなげることです。daily で重大差分を拾う、weekly で ticket と owner を整理する、monthly で KPI と次月アクションを決める、quarterly で rule そのものを見直すという cadence が決まれば、ASM は可視化ツールから運用基盤へ変わります。
今日から始めるなら、まず高優先度 finding の平均対応時間を測る、owner 未設定を別枠で追う、monthly review の agenda を固定するの 3 つで十分です。この 3 つができるだけで、件数中心の運用から一段抜け出せます。
次のアクション
読み終えたら、無料でASM診断を開始
外部公開資産の現状を無料で確認し、管理漏れや優先して見るべきリスクを洗い出してください。記事で読んだ内容を、そのまま自社の判断へつなげやすくなります。
参考にした一次ソース
重要論点の根拠として参照した一次ソースだけを掲載しています。
continuous monitoring を資産、脅威、脆弱性、コントロール有効性の可視化と timely response の戦略として扱う観点を参照しました。
指標を優先順位付けし、改善判断へ使うという KPI 設計の考え方を参照しました。
benchmark と maturity improvement の両方を review 設計へつなぐために参照しました。
現在の exposure 把握、必要性見直し、routine assessments の流れを cadence 設計へ反映しました。
initiatives、metrics、recommendations、events を分けて見る考え方と risk accepted state の扱いを参照しました。
risk evidence を ticket と review へ戻す前提の見せ方として参照しました。
asset 情報、risk、証拠を Jira ticket へ渡す設計の参考にしました。
severity と risk details を remediation workflow へ map する観点の補強に使いました。