CAASMとは何か――攻撃対象領域を統合管理する技術の基本と評価観点

CAASMとは何か――攻撃対象領域を統合管理する技術の基本と評価観点 ベンダー動向
2026.04.28
この記事は約9分で読めます。

このテーマを取り上げる理由

クラウド・SaaS・IoT デバイスの普及で、組織が管理すべき資産の数と種類が爆発的に増えています。Gartner は2021年に CAASM1(Cyber Asset Attack Surface Management)という新カテゴリを定義し、「資産が見えていない状態」がセキュリティの最大の盲点であると指摘しました。それから 5 年、CMDB2・EDR3・クラウドコンソール・脆弱性スキャナがそれぞれ独立した「島」になっている現状は多くの組織で変わっていません。本稿では CAASM が何を解決する技術カテゴリなのか、評価観点と落とし穴を整理し、CISO・SOC アナリスト・インフラ運用が選定判断に使える視点を提供します。

基本:何を解決する技術カテゴリか

CAASM は、組織内外に分散する資産情報を複数のデータソースから収集・統合し、攻撃者から見た「露出面(アタックサーフェス)」を継続的に可視化・管理するカテゴリです。EASM4(External Attack Surface Management、外部から見える露出に特化した手法)や DRPS(Digital Risk Protection Services、ブランド・漏えい情報の監視)と並ぶアタックサーフェス管理の一分野として位置づけられています。

EASM が「外から見える露出」に焦点を当てるのに対し、CAASM は社内ネットワーク・クラウド環境・エンドポイントを含む内外すべての資産を統合管理対象にします。CMDB(構成管理データベース)・EDR(エンドポイント検知応答)・クラウド API・脆弱性スキャナ・ID プロバイダといった多様なソースと API 連携し、単一の「資産ビュー」を構築します。これにより「どの資産が、どのような状態で、どこに存在するか」を継続的に把握できる状態を作ります。

類似カテゴリとして ASPM(Application Security Posture Management、アプリケーション層に特化)、DSPM(Data Security Posture Management、データ資産に特化)も同じ「Posture Management」系統に属します。CAASM はインフラ資産全般を対象にする最上位レイヤと考えると整理しやすいでしょう。

主な機能要素・構成要素

  • 資産の自動発見と在庫管理: エージェントレス API や既存ツールとの連携を通じて、管理外資産(シャドー IT)を含む資産を継続的に発見します。
  • 多ソース統合(コネクター): CMDB・クラウドプラットフォーム(AWS/Azure/GCP)・EDR・スキャナ・ID プロバイダなどと API 接続し、資産データを正規化・統合します。
  • クエリ・検索エンジン: 「脆弱な OS バージョンを持つインターネット公開資産」など、条件を組み合わせて資産群を絞り込みます。SQL ライクな構文や GUI から実行できる製品が多くあります。
  • ギャップ分析・ポリシーチェック: 「EDR が未導入の資産」「パッチが未適用のサーバ」などをポリシーと照合し、逸脱を検出します。
  • アタックパス可視化: 資産間の依存関係や権限設定を分析し、侵害された場合に横展開が可能な経路を提示します。
  • ダッシュボード・レポート: 経営報告やコンプライアンス監査向けに資産状態を集計・出力します。

導入を検討する際の評価観点

CAASM の選定では、製品比較というより「自社環境とのフィット」を見るのが実務上有効です。次の7観点でチェックリスト化することを推奨します。

  • コネクターの数と品質: 自社が利用するクラウドやセキュリティツール向けのコネクターが揃っているか確認します。カバレッジが不足すると「見えていない資産」が残り続けます。
  • データ正規化・重複排除の精度: 同じ資産が複数ソースで別エントリとして登録される状況を適切に名寄せできるかが、在庫精度に直結します。
  • クエリ・分析の柔軟性: SOC アナリストやインフラ担当が自律的に条件検索・調査できる操作性があるかを評価します。
  • 既存ワークフローへの統合: SIEM/SOAR・チケットシステム・CMDB へのアウトプットが可能か、双方向の更新に対応しているかを確認します。
  • データ鮮度とスケーラビリティ: 資産数の増加や頻繁なクラウド構成変更に追随できるか、更新がリアルタイムか日次バッチかを見ます。
  • RBAC・テナント分離: 部門ごとや MSSP 利用時のアクセス制御が十分か確認します。誤った権限設定は情報漏えいリスクになります。
  • 運用コスト(統合・維持): 初期構築よりもコネクターの継続メンテナンスやルール更新に工数がかかる傾向があります。運用負荷を事前に見積もることが重要です。

よくある落とし穴

  • データソースの品質に依存しすぎる: CAASM はあくまで既存ツール・台帳のデータを統合するプラットフォームです。入力データが不正確・古い場合、出力のアタックサーフェス情報も不正確になります。「CAASM を入れれば資産管理が完結する」という過信は禁物です。
  • スコープ定義の曖昧さ: 「どこまでを対象資産とするか」が組織内で合意されていないと、可視化の効果が限定的になります。特に OT ネットワーク・IoT デバイスをスコープに含めるかは、担当チームを交えた事前合意が必要です。
  • 導入後の運用体制が未整備: ギャップや逸脱を検出しても、対応するプロセスやチームが整っていなければアラートが消化されずに積み上がるだけです。検出ルールのオーナーシップと対応フローを先に設計しておくことが成功の鍵となります。

業種別影響

  • 製造業: OT ネットワーク・産業用 IoT デバイス(PLC・センサー・制御端末)の管理が論点です。Siemens IEM(産業用エッジ管理基盤)への ICS アドバイザリが続いている現状を踏まえると、CAASM のスコープを IT に閉じず、OT/IoT を含めるかの判断が経営課題と直結します。
  • 金融: 金融庁のサイバーセキュリティ強化方針および「重要情報を取り扱う際の対策ガイドライン」で要求される資産棚卸しの実装手段として CAASM を位置づけられます。委託先・MSSP 経由の資産も含めた一元管理が監査対応で評価されます。
  • IT・SaaS 企業: 自社プロダクトを SaaS で提供している組織は、顧客向け SLA と内部運用の両方で資産可視化が問われます。SOC 2 Type II 監査での「Asset Management」項目への根拠資料として CAASM の出力が活用できます。

一枚要約

  • 何が起きているか: クラウド・SaaS・IoT の普及で管理すべき資産が急増し、「台帳に載っていない資産」や「把握漏れの設定ミス」が侵害の入口になるリスクが高まっています。Gartner が 2021 年に定義した CAASM がこの課題への解決策として注目されています。
  • 自社への影響: EDR が未導入の資産やパッチ未適用のサーバが「見えていない」状態のまま放置されると、Bomgar/BeyondTrust RMM 悪用事案のように管理対象資産が侵害起点となるリスクを排除できません。
  • 打つべき手: CAASM の導入を検討する前に、自社の資産ソース(CMDB・クラウドアカウント・EDR)を棚卸しし、コネクター対応状況とギャップ検出後の対応フローをセットで設計することが現実的な第一歩となります。

今日着手できる3アクション

  • AWS/Azure/GCP のインベントリ機能で資産数を概算する: AWS は aws resourcegroupstaggingapi get-resources で全タグ付きリソースを一覧化、Azure は Resource Graph ExplorerResources | summarize count() by type を実行、GCP は Cloud Asset Inventory の gcloud asset search-all-resources --scope=organizations/ORG_ID --asset-types="*" で全資産を取得できます。これだけで「自社で管理している資産数の桁感」が把握できます。
  • CMDB の最終更新日と整合率を確認する: ServiceNow CMDB であれば「CMDB Health Dashboard」(管理ナビゲーター → CMDB → Dashboards)で最終更新日・重複・未割り当て CI を確認します。整合率が 70% を切っているなら、CAASM 導入よりまず CMDB のデータクレンジングが先です。
  • 「EDR 未導入資産」のギャップを試しに洗い出す: Microsoft Defender for Endpoint の管理ポータル(security.microsoft.com)→「資産」→「デバイスインベントリ」で「Onboarding status: Not onboarded」フィルターを実行、または CrowdStrike Falcon の Discover モジュール → 「Unmanaged Assets」レポートで管理外端末を確認します。検出件数が想定より多ければ、CAASM 導入の優先度を上げる根拠データになります。

AI×セキュリティの観点

生成 AI を活用することで、CAASM が収集した大量の資産データからリスク優先度を自動スコアリングしたり、「脆弱な OS バージョンを持つインターネット公開資産」のようなクエリを自然言語で生成したりすることが可能になりつつあります。逆に攻撃者側も AI を用いてシャドー IT や設定ミスを高速にスキャンしており、CAASM による継続的な可視化の更新頻度がリアルタイムに近いほど防御優位を保ちやすくなります。AI システム自体も組織の資産として管理対象に加える必要があり、モデルの API エンドポイントや学習データ基盤を CAASM のスコープに含めることが今後の課題となります。AI 事業者ガイドラインや EU AI Act が要求する「AI システムの透明性」も、CAASM の資産台帳に AI コンポーネントを登録するところから始められます。

用語ミニ解説

  1. CAASM(Cyber Asset Attack Surface Management) — 組織内外のすべての資産を複数のデータソースから統合し、攻撃者から見た露出面を継続的に可視化・管理するカテゴリ。2021 年に Gartner が命名した。
  2. CMDB(Configuration Management Database) — IT インフラを構成するハードウェア・ソフトウェア・ネットワーク機器などの情報を管理するデータベース。CAASM の主要なデータソースの一つ。
  3. EDR(Endpoint Detection and Response) — エンドポイント上の不審な振る舞いを検知し、対応を支援するセキュリティ製品。Microsoft Defender for Endpoint や CrowdStrike Falcon などが代表例。
  4. EASM(External Attack Surface Management) — 組織の外部から見える露出に特化したアタックサーフェス管理の手法。CAASM が内部資産も含む点で範囲が異なる。
  5. ASPM/DSPM — それぞれ Application Security Posture Management(アプリケーション層)、Data Security Posture Management(データ資産)に特化した同系統のカテゴリ。CAASM をインフラ資産の最上位レイヤとして、ASPM・DSPM と組み合わせて運用するのが一般的になりつつある。

参考リンク

コメント

タイトルとURLをコピーしました