Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
組織がインターネットに公開している、あるいは内部で接続しているすべての資産は、攻撃者にとっての潜在的な侵入経路となります。2026年、Unit 42の研究者たちは、セキュリティインシデントの87%が少なくとも2つの攻撃対象領域にまたがっており、そのうちの90%近くでID関連の問題が関与していたことを明らかにしました。この統計だけでも、攻撃対象領域管理(ASM)がサイバーセキュリティ分野で最も急速に成長している分野の一つとなった理由がわかります。 本ガイドでは、ASM(攻撃対象領域管理)とは何か、そのライフサイクルの仕組み、組織が監視すべき攻撃対象領域の種類、そして拡大し続けるデジタルフットプリントに対応できるプログラムの構築方法について解説します。初めてASMイニシアチブを計画するセキュリティアナリストから、プログラムの成熟度を評価するCISOまで、本ガイドは基礎となるリファレンスとなります。
アタックサーフェス管理(ASM)とは、組織のすべてのデジタル資産にわたるセキュリティ上の脆弱性を継続的に発見、分類、優先順位付けし、是正するプロセスです。ASMは攻撃者の視点に立ち、従来の資産インベントリでは見落とされがちな資産や脆弱性(シャドーIT、クラウドの設定ミス、サードパーティ製統合機能など)を特定します。
この定義は、ASMと従来の資産管理との根本的な違いを的確に捉えています。従来のセキュリティツールは「内側から外側へ」というアプローチを採用し、既知のリソースをCMDB(構成管理データベース)に登録します。一方、ASMはこのモデルを逆転させます。ASMは「外側から内側へ」というアプローチで、攻撃者が行うのと同じ手法を用いて、インターネットに公開されているすべての資産、見落とされていたクラウドインスタンス、および管理対象外となったAPIエンドポイントをスキャンします。その目的は、「未知の未知」――つまり、環境内に存在しながらも正式なインベントリ登録が一度も行われていない資産――を発見することにあります。
これは、現代の企業環境が絶えず変化しているため重要です。クラウドインスタンスは数分で起動・停止を繰り返します。開発者はIT部門の承認なしにSaaS連携機能をデプロイします。合併や買収によって、技術スタック全体が一夜にして統合されることもあります。こうした変化のたびに、従来のツールでは検知できない新たなリスクが生まれる可能性があります。
最も大きなリスクをもたらす資産は、往々にして誰にも知られていないものなのです。シャドーITの導入、放置された開発サーバー、サードパーティのOAuth連携、管理されていないAPIエンドポイント、そしてITガバナンスの枠外で導入されたAIインフラなどは、すべてこのカテゴリーに該当します。
実例がこれを裏付けています。 2025年、攻撃者はSalesLoftのセールスエンゲージメントプラットフォームにおけるOAuth連携を悪用し、顧客環境への大規模なアクセス権を取得しました。その結果、TransUnionを通じて446万人の米国消費者のデータが流出しました。攻撃の標的となったのはサーバーやファイアウォールではなく、ASMが監視すべきだったサードパーティの連携機能でした。これは、継続的な資産検出によってコンテキスト情報を提供しなければ、脅威検知だけでは防ぐことのできない種類の情報漏洩です。
ASMの導入根拠は、攻撃対象領域の拡大、攻撃の好機となる時間の短縮、および脆弱性の発見から是正措置までの時間の拡大という、3つの相乗的な傾向に基づいています。
市場動向は、その緊急性を裏付けています。調査会社や定義の範囲によって異なりますが、アタックサーフェス管理市場の2026年の市場規模は10億3000万ドルから20億3000万ドルと推定されており、年平均成長率は21~31%に達すると見込まれています(Fortune Business Insights)。この成長は、見えないものは守れないという教訓を――多くの場合、痛い目を見て――学んだ組織からの、真の需要を反映したものです。
ASMが今重要である主な理由:
これらの数字は、攻撃対象領域のリスク管理が取締役会レベルで検討すべき課題であることを示しています。ランサムウェア集団が新たな脆弱性を数時間のうちに悪用可能にし、発見された脆弱性の半数が未修正のまま放置されている現状において、継続的な可視化はもはや必須の要件となっています。
アタックサーフェス管理は、5つのフェーズからなる継続的なライフサイクルに従います。各フェーズは次のフェーズへとつながり、組織の進化するデジタルフットプリントに対応する継続的なサイクルを形成します。このアタックサーフェス管理のライフサイクルを理解することが、効果的なプログラムを構築するための基礎となります。
ASMライフサイクルの5つの段階:
継続的な攻撃対象領域の管理は、独立した分野というわけではありません。それは、ライフサイクルの5つのフェーズすべてが途切れることなく実行されることで実現されるものです。この概念は特に強調すべき点です。なぜなら、従来のセキュリティ対策では、資産の特定を四半期ごとや年1回の作業として扱うことが多いためです。今日の環境において、そのような頻度では危険なほど遅すぎます。
現代の攻撃のスピードを考えてみてください。Langflowの重大な脆弱性CVE-2026-33017が公表された際、攻撃者はアドバイザリの公開からわずか20時間以内に実用的なエクスプロイトを入手していました(The Hacker News)。四半期ごとのスキャンでは、この機会を完全に見逃してしまうでしょう。チームがインフラのプロビジョニングや廃止を行うにつれ、クラウドの攻撃対象領域は日々、あるいは時間単位で変化しています。継続的な監視を行うことで、脆弱性が露呈してから検出されるまでのタイムラグを埋めることができます。
検証も同様に重要です。ある実証済みのケーススタディによると、セキュリティチームは証拠に基づく検証を行うことで、1,198件の「重大」アラートを31件の実際の問題にまで絞り込むことに成功しました(ProjectDiscovery、2026年)。継続的な検証が行われない場合、ASMプログラムはノイズに埋もれてしまい、アラート疲労を軽減するどころか、かえって悪化させることにつながります。
アタックサーフェス管理の中核となる機能は、ライフサイクルの各段階と直接対応しています。具体的には、ディスカバリー(全資産の特定)、分類(カテゴリ分けとインベントリ作成)、優先順位付け(リスクに基づくランク付け)、是正措置(修正または軽減)、そして継続的監視(変更に対する継続的な監視)です。これら5つの機能は相互に連携して機能します。優先順位付けを伴わないディスカバリーでは、膨大な資産リストが生み出されるだけです。また、継続的監視を伴わない優先順位付けは、環境の変化に伴い、数日でその有効性を失ってしまいます。
効果的なASMプログラムでは、外部、内部、クラウド/API、AI、サプライチェーン、人的要因という6つの攻撃対象領域を特定・監視する必要があります。これら各領域には、それぞれ異なる特定手法が求められます。
それぞれ異なるASM検出および監視アプローチを必要とする6つの攻撃対象領域。
外部攻撃対象領域管理(EASM)は、外部の攻撃者から見えるインターネットに公開された資産に特化したASMの一分野です。外部資産は、その定義上、攻撃者が最初に目にする対象であるため、EASMはASMのカテゴリーの中で最も一般的に取り組まれている分野です。EASMツールは、ドメイン、IPアドレス、証明書、Webアプリケーション、および公開されているAPIをスキャンし、攻撃者の偵察活動を反映した「アウトサイド・イン」型のインベントリを構築します。
EASMは、複数のソースから内部資産データを集約し、重複を排除した包括的なインベントリを作成することに重点を置くサイバー資産攻撃対象領域管理(CAASM)とは異なります。EASMが外部に目を向けるのに対し、CAASMは内部に目を向けます。完全なASMプログラムには、この両方の視点が必要です。
内部攻撃対象領域(EASM)の管理では、オンプレミスネットワーク、エンドポイント、内部アプリケーション、Active Directory、およびサービスアカウントを対象とします。ハイブリッド環境を運用する組織にとって、ネットワークセキュリティ対策とID監視は、EASMを補完する極めて重要な要素となります。同様に、クラウド攻撃対象領域(ASM)の管理では、設定ミス、外部に公開されたストレージ、サーバーレス関数、およびAPIエンドポイントが対象となります。これは、クラウドセキュリティ対策とASMが直接的に交差する領域です。
AIインフラは、多くのASMプログラムがまだ対応していない新たな攻撃対象領域のカテゴリーです。LLMエンドポイント、トレーニングデータパイプライン、モデルAPI、AIエージェントのID、およびプロンプトインターフェースは、いずれも従来のITガバナンスの範囲外となる新たなリスク要因を生み出しています。
このリスクは現実のものとなっています。Langflowの脆弱性CVE-2026-33017(CVSS 9.3)は、アドバイザリの公開(Sysdig)からわずか20時間以内に悪用され、多くの組織がその存在すら認識していなかったAIパイプラインインフラを標的としました。RSAC 2026では、セキュリティ専門家の48%が、年末までに最も予想される攻撃ベクトルとして自律型AIを挙げています(Dark Reading)。 一方、IT部門の監視下にない状態で稼働する「シャドウAI」は、76%の組織に影響を及ぼしています。AIインフラを無視したASMプログラムは、監視の届かない死角を拡大させており、 prompt injection 攻撃が、その緊急性を浮き彫りにしている。
サプライチェーンとサードパーティの攻撃対象領域には、同等の注意を払う必要があります。「Shai-Hulud 2.0」npmキャンペーンでは、700以上のパッケージが侵害され、487の組織が影響を受けました(Unit 42の調査)。これは、サプライチェーン攻撃がいかに大規模に拡散し得るかを示しています。 OTプロトコルを利用した攻撃が84%増加したことで、攻撃の境界はさらにIoTセキュリティの領域へと拡大しています(Forescout、2026年)。ソーシャルエンジニアリングの攻撃対象領域——つまり人的要素——がこの全体像を締めくくるものであり、公開されている従業員データや組織図を悪用して説得力のある フィッシング 攻撃を仕掛けている。
理論も重要ですが、測定可能な成果の方がより重要です。以下の事例研究は、ASMプログラムが成功したとき、そして失敗したときに何が起こるかを示しています。
SalesLoft/TransUnion(2025年)。攻撃者はOAuth連携を悪用して顧客環境へ大規模にアクセスし、監視されていないサードパーティ連携を通じて446万人の米国消費者の情報が流出しました(Integrity360)。教訓:サードパーティのOAuth連携は、ASMが継続的に監視しなければならない重要な攻撃対象領域です。
ジャガー・ランドローバー(2025年)。サイバー攻撃により生産が5週間停止し、グローバルサプライチェーンの5,000社以上に影響が及び、推定19億ポンドの損害が発生した。これは英国史上、経済的被害が最も甚大だったサイバーインシデントである(Integrity360)。教訓:ASMはOT(オペレーション技術)および製造環境にも拡大する必要がある。
英国の小売業界を標的としたランサムウェア攻撃キャンペーン(2025年)。この組織的な攻撃キャンペーンは、サプライチェーンの脆弱性とベンダーの共通依存関係を悪用し、英国の大手小売業者を標的にした。教訓:攻撃対象領域の可視化には、組織間で共有されるインフラを含める必要がある。
ProjectDiscoveryによるアラートの検証(2026年)。ある事例研究では、チームが証拠に基づく検証(ProjectDiscovery)を通じて、1,198件の「重大」アラートを31件の実際の問題に絞り込んだことが報告されています。教訓:ASMは、単なるアラートの生成にとどまらず、検証済みでリスク優先順位付けされた調査結果へと進化させなければなりません。
ASM(資産セキュリティ管理)と脆弱性管理は関連していますが、異なる概念です。ASMは、攻撃者の視点から未知の資産を特定することから始まる、より広範な概念です。一方、脆弱性管理は、すでに棚卸し済みの資産における既知の欠陥の修正に焦点を当てています。組織には両方が必要ですが、ASMは、脆弱性スキャナーの対象範囲に組み込まれなかった資産という重大なギャップに対処します。評価手法に関するより詳しい情報については、「脆弱性評価」を参照してください。
ASM、EASM、およびCAASMの機能と適用範囲の比較。
ASMは包括的な分野です。EASMは外部向けのサブセットを扱います。サイバー資産攻撃面管理(CAASM)は、複数のソースにわたる内部資産データの集約と重複排除に重点を置いています。成熟したASMプログラムでは、EASMとCAASMの両方のデータストリームが統合されています。
組織は、それぞれ独自の特性と測定可能な指標を持つ4つの成熟度レベルに基づいて、自社のASMプログラムをベンチマークすることができます。
測定可能な進捗基準を備えた、4段階のASMプログラム成熟度モデル。
現在、多くの組織はレベル1またはレベル2で運用されています。レベル3に移行するには、専用のツールと既存のセキュリティワークフローとの統合が必要です。レベル4は最先端の取り組みであり、より広範な継続的脅威エクスポージャー管理プログラムに組み込まれた、リアルタイムで検証されたエクスポージャー管理を指します。
ASMは主要な規制枠組みの要件と直接対応しているため、セキュリティおよびコンプライアンスの両面において不可欠な要素となっています。以下の対応表は、ASMのライフサイクル段階と具体的な管理措置を関連付けています。
ASMコンプライアンスの対応表作成活動と規制枠組みの要件との照合。
欧州の組織にとって、NIS2は特に注視すべき課題です。この指令は、重要事業体に対し、資産管理や脆弱性への対応を含むリスク管理措置を義務付けており、違反した場合には最大1,000万ユーロ、または世界全体の売上高の2%に相当する罰金が科されます。2025年初頭時点で、EU加盟27カ国のうちNIS2を完全に国内法に組み込んだのは9カ国にとどまっており、一部の管轄区域では最初のコンプライアンス監査の期限が2026年6月30日まで延長されています。 EU市場で事業を展開する組織は、ASMを単なるオプション機能ではなく、コンプライアンス要件として扱うべきである。
ASM分野は急速に進化しています。現在、クラウド導入が市場を席巻しており、2026年にはASM導入全体の58%を占める見込みです。また、大企業が市場シェア全体の58%を占めています(Fortune Business Insights)。
業界の観測筋は、この進化を3つの段階に分けて説明している。ASM 1.0は、定期的なスキャンと手動による資産インベントリに依存していた。ASM 2.0では、継続的な自動検出とリスクスコアリングが導入された。ASM 3.0――現在の最前線――では、継続的な検証済みエクスポージャー管理が追加されており、アラートが生成される前に、証拠に基づくテストを通じて検出結果が確認される(ProjectDiscovery)。AIを活用した検出とリスクの優先順位付けは、これら3つの段階すべてにおいて標準となりつつある。
市場の統合は、ASMというカテゴリーが成熟期に入ったことを示している。2026年2月、大手マネージド・ディテクション・プロバイダーがASMに特化した買収を完了したが、これはASM機能が単独のツールとして存続するのではなく、より大規模なセキュリティプラットフォームに統合されるという広範な傾向を反映している。
CTEMの背景。ASMは、より広範な継続的脅威露出管理(CTEM)フレームワークにおいて、脅威の発見および監視機能を提供します。ガートナーは、2026年までにCTEMを導入した企業は、侵害被害に遭う確率が3分の1になると予測しました。この予測は2026年3月時点では実証されていませんが、CTEMの導入を大幅に促進する要因となっています。このフレームワークの詳細については、当社の「継続的脅威露出管理ガイド」をご覧ください。
Vectra AI、現代のネットワークそのものが攻撃対象領域(アタックサーフェス)であることを認識しています。この攻撃対象領域は、オンプレミス、マルチクラウド、ID、SaaS、IoT/OT、エッジ、AIインフラストラクチャにまたがっています。Vectra AI 、考えられるすべての資産を網羅的にリストアップしようとするのではなく、Attack Signal Intelligence Vectra AI Attack Signal Intelligence すでに攻撃対象領域に侵入した攻撃者をAttack Signal Intelligence 。 これにより、キルチェーンのあらゆる段階における振る舞い を通じて、現代の攻撃対象領域全体にわたる統合的な可視性が提供されます。ASMの検出機能に加え、ネットワーク検知・対応(NDR)およびID脅威検知・対応(IDTR)がこれを補完します。ASMとシグナルベースの検知は、包括的なエクスポージャー戦略の2つの側面を形成します。一方は脆弱性を見つけ出し、もう一方はそれを悪用する攻撃者を見つけ出すのです。Vectra AI 詳細をご覧ください。
ハイブリッド環境やマルチクラウド環境を運用する組織にとって、アタックサーフェス管理はもはや必須の要件となっています。この取り組みにより、従来のセキュリティインベントリでは見落とされがちな資産や脆弱性を特定するために必要な、攻撃者の視点に立った継続的な可視性が得られます。その対象は、シャドーITやサードパーティ製統合から、新たに台頭しているAIアタックサーフェスにまで及びます。
効果的なASMプログラムを構築するには、まず5つのフェーズからなるライフサイクルを理解し、現在の成熟度を評価した上で、自社の環境にとって最も関連性の高い攻撃対象領域のカテゴリーを優先順位付けすることから始めます。ASM活動を早期に規制フレームワークに照らし合わせて位置づけることが重要です。コンプライアンス要件は、優れたASMプログラムがすでに提供している資産の検出や継続的な監視機能といった点で、次第に共通化しつつあるからです。
ASMを単なる定期的なスキャンではなく、継続的な取り組みとして捉える組織こそが、攻撃者が脆弱性を悪用する前にリスクを低減できる最善の態勢を整えることができます。ASMを補完し、現代の攻撃対象領域全体にわたるシグナルベースの検知を導入する準備が整っているチームは、Vectra AI 統合的な脅威可視化Vectra AI どのようにVectra AI 、ぜひご検討ください。
アタックサーフェス管理とは、組織のデジタルフットプリント全体にわたるセキュリティ上の脆弱性を発見、分類、優先順位付け、および是正するための継続的なプロセスです。これは攻撃者の視点に立ち、従来の資産管理では見落とされがちな資産や脆弱性(シャドーIT、管理対象外のクラウドインスタンス、サードパーティ製統合機能、ITガバナンスの枠外で展開されたAIインフラなど)を特定します。 定期的なセキュリティ監査とは異なり、ASMは継続的なライフサイクルとして機能し、新しい資産や変更された設定を絶えずスキャンすることで、組織のセキュリティリスク状況をリアルタイムで可視化します。従来のインサイドアウト型資産管理では、攻撃者が実際に標的とする資産を見逃してしまうという認識が組織内で広まるにつれ、この分野は急速に発展しています。
従来からある3つのタイプは、デジタル(ソフトウェア、ネットワーク、クラウドサービス、API)、物理的(デバイス、施設、ハードウェア)、そしてソーシャルエンジニアリング(人的要素――フィッシングに騙されやすい従業員)です フィッシング、プリテクスティング、または操作に弱い従業員)に分けられる。現代のフレームワークでは、この分類が大幅に拡張されている。デジタルカテゴリーは現在、外部、内部、クラウド/API、サプライチェーンの各次元へと細分化されている。LLMエンドポイント、モデルAPI、トレーニングデータパイプラインを含むAIインフラストラクチャは、独自の第4のカテゴリーとして台頭しつつある。ASMプログラムを構築する組織は、範囲を従来の3つに限定するのではなく、これら6つの現代的なカテゴリーすべてを網羅するように計画すべきである。
ASMは、攻撃者の視点から未知の資産を発見することから始まる包括的なアプローチです。一方、脆弱性管理は、すでに棚卸し済みの資産における既知の欠陥を修正することに重点を置いています。両者の主な違いは対象範囲にあります。脆弱性管理では、保有資産を把握した上で欠陥のスキャンを行うのに対し、ASMは、シャドーITや忘れ去られたサーバー、脆弱性スキャナーが決して検知できないサードパーティ製統合システムなど、あらゆるものを洗い出すことから始めます。
組織は、拡大する攻撃対象領域(インシデントの87%が2つ以上の領域にまたがる)、短縮される攻撃の窓(情報漏洩から悪用まで24~48時間)、そして拡大する是正のギャップ(年間13,333件の脆弱性が発見される一方、是正されるのはわずか50%)に直面しています。 2025年には、世界平均のデータ侵害によるコストは444万ドルに達し、侵害への第三者の関与は2倍の30%に増加しました。ASMは、これらのギャップを埋めるために必要な継続的な可視性を提供します。ASMがなければ、組織は全体像を把握できない境界線を防御することになり、攻撃者は機械並みの速度でこの状況を悪用する能力をますます高めています。
EASMはASMの一分野であり、外部の攻撃者から見えるインターネットに公開された資産の発見と監視に特化しています。これには、ドメイン、IPアドレス、SSL/TLS証明書、Webアプリケーション、公開されているAPI、およびパブリックインターネットからアクセス可能なクラウドサービスが含まれます。EASMツールは、攻撃者が行うのと同じ偵察活動である「アウトサイド・イン」スキャンを実行し、外部への露出状況を把握します。EASMは、内部資産データを集約するCAASMとは異なります。 外部資産は最も差し迫った攻撃対象領域であるため、多くの組織はASMの導入をEASMから開始します。
EASMは、攻撃者の偵察行動を模倣し、ドメイン、IPアドレス、および公開されているサービスを見つけるために、外部から内部へと向かって外部に公開されている資産を検出します。 一方、サイバー資産攻撃表面管理(CAASM)は逆のアプローチを採用し、CMDB、クラウドプラットフォーム、SaaSツール、エンドポイントエージェントなど、複数のソースから内部資産データを集約して、重複排除された包括的なインベントリを作成します。EASMは「攻撃者は何を見ることができるか」という問いに答え、CAASMは「実際に何が存在するか」という問いに答えます。完全なASMプログラムでは、これら両方のアプローチを組み合わせることで、外部および内部の攻撃表面全体にわたる完全な可視性を実現します。
継続的脅威エクスポージャー管理(CTEM)は、スコープ設定、発見、優先順位付け、検証、および対応という5つの段階からなる包括的なフレームワークであり、エクスポージャー管理のライフサイクル全体を網羅しています。ASMは、CTEMにおける発見および監視の層を担います。ASMを、エクスポージャーを継続的に特定・把握するエンジンと捉えることができます。一方、CTEMは、その周りにガバナンス、検証、および是正措置の調整機能を追加するものです。 ASMの成熟度レベル4にある組織は、通常、ASMプログラムをCTEMフレームワークに組み込んでいます。