攻撃対象領域管理（ASM）とは？外部公開リスクを減らす固定IP・IP制限の活用法

「攻撃対象領域管理」（ASM：Attack Surface Management）という言葉は、セキュリティ業界で急速に注目が高まっている概念です。 しかし、多くの企業のセキュリティ担当者には、まだ具体的なイメージが湧きにくいかもしれません。

実は、ASMは「組織が知らないうちに外部に公開されているシステム・データを見つけ出し、その外部公開リスクを減らす」という、非常に実践的な取り組みです。

本記事では、ASMの基礎から、固定IPアドレス制限を活用した具体的なASM対策まで、わかりやすく解説します。

⇒【ロリポップ！固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料！

攻撃対象領域（Attack Surface）とは何か

定義

攻撃対象領域とは、攻撃者が企業のシステムに侵入できる可能性のある「入口」のすべてを指します。

具体例

• 社外に公開されているWebサイト・Webアプリケーション
• クラウドストレージ（S3バケット等）の誤設定による公開
• DNS設定ミスにより残されたサブドメイン
• 不要になった旧サーバーのまま稼働し続けている
• 開発環境が誤って本番環境と同じIPアドレスで公開されている
• 従業員が無断でオンラインに公開しているGitHubリポジトリ

これらすべてが、攻撃対象領域に含まれます。

増加する理由

クラウド化、マイクロサービス化、SaaS利用の拡大により、企業が管理するシステムの数が激増しています。 結果として、管理漏れ・設定ミスにより、知らないうちに外部公開されるシステムが増えています。

Gartnerのレポートによると、平均的な企業には「把握していない外部公開システム」が数十個〜数百個存在すると言われています。

⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

攻撃対象領域管理（ASM）の実装フロー

ASMは、大きく4つのステップで構成されます。

ステップ1：発見（Discovery）

攻撃者の視点で、自社の外部公開資産を特定します。

実装方法

1. 外部セキュリティスキャン

• ポートスキャン：グローバルIPアドレスを対象に、公開されているポートを検索
• Webスキャン：社名・ドメイン名等をキーワードに、検索エンジンで公開情報を検索
• DNS列挙：自社ドメインに紐づくすべてのサブドメインを特定
• SSL/TLS証明書分析：発行されている証明書から、公開サーバーを特定

2. クラウド設定監査

• Amazon S3バケットの公開設定確認
• Google Cloud Storage の権限設定確認
• Azure Blob Storage の公開範囲確認
• IAM（Identity and Access Management）設定の不適切な権限付与

3. 脅威インテリジェンス活用

• 暗号化通信（https）の証明書情報から、新しいサーバーを特定
• 開いたポートに関する過去の侵害報告を検索
• Shodan等の検索エンジンを活用し、自社のシステムを検索

ステップ2：分類（Classification）

発見されたシステムについて、その重要度・リスクを評価します。

評価項目

• 重要度 システムが保有するデータの機密性・重要性
• 脆弱性 既知の脆弱性の有無、セキュリティパッチの適用状況
• 外部公開度 どの程度、インターネット上で知られているか
• アクセス統制 認証が機能しているか、誰でもアクセス可能か

リスク度の決定

高リスク：

• 顧客情報・財務データが公開されている
• 既知の脆弱性が存在し、パッチが当たっていない
• 認証なしで誰でもアクセス可能

中リスク：

• 一般的な情報が公開されている
• セキュリティパッチが軽微
• 認証は機能しているが、デフォルト認証情報のみ

低リスク：

• 公開が許可された情報のみ
• セキュリティパッチが最新
• 適切なアクセス制御が機能

ステップ3：優先順位付け（Prioritization）

発見されたすべてのシステムを、リスク度の高い順に並べ、対応優先度を決定します。

ポイント

• 高リスク：即座に（1週間以内に）対応を開始
• 中リスク：段階的に（1ヶ月以内に）対応
• 低リスク：継続監視（6ヶ月ごとに再評価）

ステップ4：修復・監視（Remediation & Monitoring）

対応優先度に基づいて、各システムのリスクを低減させます。

具体的な対応方法

• 不要なシステムの廃止・シャットダウン
• 公開設定の修正（プライベート設定への変更）
• セキュリティパッチの適用
• 認証・アクセス制御の強化
• IP制限による外部アクセスの遮断

固定IP制限による、ASMリスク低減の実装

ステップ4（修復）の重要な施策が、「IP制限」です。 固定IPアドレス制限を導入することで、外部公開リスクを大幅に軽減できます。

対策1：外部公開サーバーのIP制限

企業が社外に公開しているWebサーバー、APIサーバーについて、IP制限を導入します。

実装パターン

パターンA：管理画面へのIP制限

Webアプリケーションの多くは、以下の2つの領域に分かれています：

1. 利用者向けページ：公開

   • 顧客がアクセスする商品ページ等
   • IP制限なし

2. 管理画面：非公開

   • ログイン機能あり
   • さらに、IP制限で社内ネットワーク（または固定IP VPN）からのみアクセス許可

このように階層化することで、管理画面への不正アクセスリスクを軽減できます。

パターンB：APIサーバーへのIP制限

自社開発のAPIサーバーについて：

• パートナー企業が利用するAPI：認証 + IP制限
• 社内システムのみで利用するAPI：IP制限（社内ネットワークまたは固定IP VPN経由のみ）

この方法により、APIキーの盗難による不正利用を防止できます。

対策2：開発環境・テスト環境のIP制限

開発環境が誤って本番環境と同じIPアドレスで公開される、という事例は多くあります。

対策方法

開発環境・テスト環境：

• 本番環境とは異なるサーバーで実行
• アクセスは社内ネットワーク（または固定IP VPN経由）のみに制限
• 本番データを開発環境に複製しない
• 開発環境のセキュリティレベルを明確にドキュメント化

対策3：クラウドストレージのIP制限

Amazon S3等のクラウドストレージについて、誤った公開設定により、機密情報が漏洩する事例が報告されています。

対策方法

1. S3バケットのポリシー設定で、IP制限を実装

   • 許可するIP：社内ネットワークまたは固定IP VPN経由のみ
   • その他のIPアドレスからのアクセスは自動的に拒否

2. CloudFront（CDN）を経由してのみアクセス許可

   • ユーザーの直接的なS3へのアクセスを禁止
   • CloudFront経由のアクセスにIP制限を適用

3. 署名付きURL方式の導入

   • 時間限定のURLを生成し、特定のユーザーのみがアクセス可能 ⇒【ロリポップ！固定IPアクセス】月額490円、すぐに使えて最大2ヶ月間無料！

ASM とゼロトラスト原則の統合

ASM は、ゼロトラスト「信頼しない、常に検証する」という原則と深く関連しています。

統合的なアプローチ

従来のセキュリティ考え方：

• ファイアウォールで社外と社内を遮断
• 社内からのアクセスは比較的自由
• 外部公開されているシステム以外は、攻撃対象外と想定

ゼロトラスト+ASM的な考え方：

• すべてのシステムが外部から攻撃される可能性を想定
• すべてのアクセスを検証（認証・認可・IP制限）
• 社外公開システムだけでなく、社内システムも守る
• 定期的に、知らないうちに公開されていないかを監視

ASM ツール・サービスの活用

ASM の実装には、専門的なツールやサービスが活用されます。

ツール例

Shodan

インターネット接続されたあらゆるデバイスを検索できる検索エンジン 自社のシステムが、Shodan上でどのように見えるかを確認可能

Censys

インターネット上のホスト・サービスに関する情報を提供 SSL/TLS証明書、ホスト情報を網羅的に検索可能

Rapid7 InsightVM

脆弱性スキャンと外部資産発見を統合したプラットフォーム 対象システムの優先順位付け・自動レポート生成機能

Qualys CSAM

クラウド対応の外部攻撃面管理ツール 継続的な監視・自動検出機能を搭載

ASM 導入の実例

例1：SaaS企業のASM対策

ある急成長中のSaaS企業では、複数のマイクロサービスを並行して開発していました。

問題点

• 開発チームが独立して、次々と新しいAPIサーバーをクラウドにデプロイ
• デプロイ時に、IP制限設定を忘れることが多くあった
• 結果として、複数の未認可APIサーバーが外部に公開されていた

ASM導入・対策

• 発見：ASMツール（Censys）を導入し、40を超える未公開APIサーバーを発見

• 分類：各APIサーバーのリスク度を評価、優先度を決定

• 修復

• 不要なAPIサーバーをシャットダウン

• 必要なAPIサーバーについて、IP制限を実装

• 全APIサーバーのアクセスを、社内VPN（固定IP）経由のみに制限

• 継続監視：月次でASMスキャンを実行し、新規公開サーバーの有無を確認

成果

• セキュリティインシデント：ゼロ（導入前は月1件程度）
• API盗用による被害：回避
• 開発チームのセキュリティ意識向上

例2：金融機関のASM対策

大手地方銀行では、レガシーシステムと新規クラウドシステムが混在していました。

問題点

• 廃止予定だった旧サーバーが、設定ミスにより外部公開されたまま
• そのサーバーには、過去の顧客データが残存していた
• 外部の攻撃者がその情報にアクセスしていた（後で判明）

ASM導入・対策

• 発見：ASMツール、規制当局からの指摘により、問題を認識

• 緊急対応

• 旧サーバーを即座にシャットダウン

• 既にアクセスされたデータについて、専門家による調査を実施

• 影響を受けた顧客への通知

• 根本的な対策

• ASMツール（Qualys CSAM）を導入、定期監視を開始

• すべてのシステム（本番・開発・テスト）のIP制限を実装

• 廃止予定システムの完全削除プロセスを構築

成果

• セキュリティインシデント：以降、ゼロ
• 規制当局からの指摘：解消
• セキュリティ成熟度が大幅に向上

固定IP・IP制限による、ASMリスク低減の効果

ASM対策において、固定IP・IP制限は以下のような効果をもたらします。

効果1：外部攻撃の大幅削減

従来：誰でもアクセス可能 → 定期的に攻撃を受ける

IP制限導入後：社内ネットワーク・固定IP VPN経由のみ → 外部からの攻撃はほぼ不可能

効果2：アクセス監視の容易化

IPアドレスが固定されているため、 異常なアクセスパターンが即座に検出可能

例）深夜に異なるIPアドレスからアクセス → IP制限ルールにより自動的に遮断

効果3：セキュリティパッチ優先度の低減

外部攻撃のリスクが低いため、 セキュリティパッチの適用に多少の時間的猶予が生まれる

ロリポップ！固定IPアクセスで ASM 対策を強化

ASM 対策の実装において、固定IPアドレスの確保は必須となります。 ロリポップ固定IPアクセスを導入することで、効率的で継続的なIP制限ポリシーが実現できます。

ロリポップ！固定IPアクセスは、GMOペパボ株式会社が提供する固定IPアドレス対応のVPNサービスです。 月額490円（税込539円）〜という国内最安級の価格で、VPN経由でどこからでも常に同じ固定IPアドレスを使ってインターネットにアクセスできます。 高速かつ安全なVPNプロトコル「WireGuard」を採用しており、オンライン申し込み後すぐに利用を開始できます。 最大2ヶ月間の無料お試し期間も用意されているため、まずは気軽に導入テストが可能です。 ASM対策を実装し、外部公開リスクを根本から低減させましょう。

⇒【ロリポップ！固定IPアクセス】 月額490円、すぐに使えて最大2ヶ月間無料！