経産省「ASM導入ガイダンス」をやさしく解説：導入目的・進め方・実務の勘所

なぜいま ASM が求められているのか

2023年5月29日に経済産業省が「ASM導入ガイダンス」公開を案内↗した背景には、ランサムウェアや情報漏えいの侵入口が、もはや社内端末だけではなく外部公開資産へ大きく広がっている現実があります。キャンペーン用のサブドメイン、SaaS連携のCNAME、外注先が構築した検証環境、買収後に引き継いだブランドサイトなど、公開面は組織図より早い速度で増減します。

ところが多くの企業では、台帳は申請ベース、運用は部門ごと、監査は年単位で回っているため、「いまインターネットから見えているもの」 と内部台帳の間に差が生まれます。CISA の Cross-Sector Cybersecurity Performance Goals でも、まず押さえるべき基礎として資産台帳↗が置かれています。ここで強調されているのは、既知資産だけでなく、shadow / unknown / unmanaged assets を見つけ続けることです。つまり ASM は便利な可視化ツールではなく、外部公開資産を継続管理するための運用機能として位置づけるのが正確です。

経産省ガイダンスは 6 つの論点で読むと早い

公式PDFは約32ページありますが、実務上は全部を均等に読む必要はありません。重要なのは、3章の実施ステップ↗を起点に、どこで意思決定が必要なのか を理解することです。以下の 6 論点を押さえると、制度解説としてではなく運用設計の指示書として読めます。

検索意図に照らすと、このページで本当に必要なのは「ASMとは何か」の一般論より、実施計画、事前準備、ツール選定、必要スキル、注意事項、サービス活用の順で何を決めるか です。競合上位の記事が強いのも、ここを公式の章立てに沿って説明しているからです。

導入前に決めるべき 3 つの判断

実施計画の段階で止まりやすいのは、対象範囲が曖昧なままツール選定へ進んでしまうことです。ガイダンスを実務に翻訳すると、最初に決めるべき判断は「どこまでを調査対象に入れるか」「検出結果を誰へ返すか」「どの周期で再確認するか」の 3 つに集約できます。

事前準備チェックリストを最初に作る

公式ガイダンスの「3.2.1 事前準備」は、かなり実務寄りです。ここではドメインだけでなく、IPアドレス、ASN、Whois、対象Webコンテンツ、そして第三者やグループ会社が管理する資産まで含めて、調査対象を広く拾うことが示されています。言い換えると、ASMの導入前に「自社だと思っている公開面」を一度疑う のが重要です。

特に日本企業で抜けやすいのは、採用サイト、キャンペーンサイト、海外子会社、販売代理店運営のサポートページ、SaaSの独自ドメイン設定です。これらは社内台帳に薄くしか載っていないことが多く、管理者が不明なまま残りやすい領域です。

事前準備を軽く見ると、どれだけ優秀なツールを入れても結果の戻し先が決まりません。もし今の時点で台帳が曖昧なら、先に 外部公開資産台帳のテンプレート を使って最低限の管理列を揃える方が近道です。

ASMツールとASMサービスの違いを先に理解する

公式ガイダンスの「3.2.2 ASMツール」と「3.2.5 ASMサービス」では、選択肢をひとつに決め打ちしていません。検索エンジン型は広く拾うのに向き、オンアクセス型は深く確かめるのに向き、ASMサービスは調査結果の解釈や改善運用まで支援しやすいという役割分担で読むと整理しやすいです。

ここで重要なのは、ASMは脆弱性診断の完全な代替ではない という点です。ASM は「何が外から見えているか」「どれが危険な入口か」を継続把握する仕組みであり、深いアプリ診断や修正確認とは役割が異なります。一般的な違いは アタックサーフェスの解説記事 でも整理しています。

必要な知識・スキルと注意点

公式ガイダンスの「3.2.3 必要となる知識・スキル」と「3.2.4 注意すべき事項」は、競合記事でも取り上げられやすい重要論点です。ここでは DNS、HTTP/TLS、クラウド、Web運用の基礎だけでなく、委託先やグループ会社へ戻すための調整力 も必要になります。

1. DNS・Web・証明書の基礎が要る

たとえばダングリングDNS、管理画面露出、証明書期限切れ、古いCNAMEの残存は、どれも DNS と Web 運用の基礎がないと判断がぶれます。ASM の結果を読む担当には、最低でも「どの公開面がどの運用要素に紐づくか」を説明できる人が必要です。

2. 管理者不明資産を放置しない

もうひとつ重要なのが、管理者不明資産を「調査対象外」に逃がさないことです。管理者が曖昧な時点でリスクが高いのであって、担当が不明だから除外する、は逆です。グループ会社、制作会社、販売代理店の公開面まで含めて、誰へ確認すべきかを先に決めておく必要があります。

3. 対象への通信には配慮が要る

オンアクセス型の調査や確認行為では、対象への通信が発生します。これ自体が問題なのではなく、どの範囲へ、どの頻度で、どこまで深くアクセスするか を決めずに実施することが問題です。ガイダンスの注意点は、ここを法務・運用・対外調整も含めて設計せよ、という意味で読むべきです。

海外の公式フレームワークと何が共通しているか

経産省や IPA の文脈だけを見ると、日本独自の要求のように見えます。しかし一次ソースを並べると、海外の公的 ガイダンス とかなり一致しています。CISA は インターネット-facing asset の優先管理を明確に置き、OWASP は attack surface analysis を change-driven に見直すべきだとしています。Microsoft の Security Exposure Management も継続発見を前提にしています。言い換えると、ASM は「新しい用語」ではなく、既存の資産管理と変更管理を公開面に適用したものです。

この視点に立つと、ASM を高価な統合製品から始める必要はありません。むしろ、最初は公開面の棚卸しと高リスク露出の優先順位付けに絞り、資産台帳・定例レビュー・改善チケットの連携を先に作る方が失敗しにくいです。導入初期に重要なのは機能網羅ではなく、誰が何を見て、何を直すか を合意することです。

日本企業が導入でつまずくポイント

対象範囲が狭すぎる

一番最初のつまずきは、本番ドメインだけを見て「うちは整理できている」と判断してしまうことです。実際には、採用、キャンペーン、旧ブランド、海外拠点、子会社、委託先の公開面が抜けやすく、ここから管理者不明資産が残ります。対策は、組織図ではなく公開面から逆算して対象範囲を決める ことです。

台帳が更新されない

次に多いのは、初回棚卸しのあとに台帳更新が止まることです。とくに委託先やマーケティング部門が追加したサブドメインは、情シスの申請フローに乗らずに公開されがちです。ASM を導入しても、発見結果が月次Excelへ貼られるだけなら数か月で陳腐化します。対策は、資産台帳を固定ファイルとして持つのではなく、診断結果を起点に更新する運用 へ変えることです。

発見結果が修正に繋がらない

最後の壁は「確かに危ないが、誰が直すのか分からない」問題です。ダングリングDNSならDNS担当、管理画面露出ならアプリ担当、証明書期限切れならインフラ担当と、修正先は検出項目ごとに異なります。だからこそ結果画面にはリスク説明だけでなく、修正方向と担当の当たりを載せる必要があります。ASM診断 PRO では、優先度付き findings とレポート によって、この担当切り分けをしやすくしています。

まとめ

90日で始める運用ロードマップ

実務的には、最初から全ドメインを一括登録しない方が安全です。本番に近い重要ドメインから 1 つずつ着手し、定例レビューの流れが回るかを確認しながら広げた方が失敗しにくくなります。以下の 90 日ロードマップなら、ガイダンスの要求と現実の運用負荷を両立しやすくなります。

ASM診断 PRO で進めるなら、まず 無料診断 で現状の公開面を見て、どのドメインがどの程度見えているかを把握します。次に 導入ガイド に沿って会員登録し、運用対象を整理します。対象が固まったら TXT認証 で所有確認を行い、Verified 診断と継続監視へ移ります。この順番なら、ツール導入と運用設計を同時に前へ進められます。

ポイントは、スキャン件数を増やすことより、改善が回る単位で定着させること です。最初の対象が 1 ドメインでも、担当割りとレビューが回るなら十分に価値があります。逆に 30 ドメインを一気に入れても、戻し先が曖昧なら運用は止まります。