外部公開資産の漏えい検知を自動化する運用

自社の公開資産から情報が漏れている。しかし、その事実に気づいていない。そんな企業は少なくありません。外部公開資産の漏えい検知の自動化は現代のセキュリティで最も重要な課題です。そこで、この記事ではEASM(外部攻撃面管理)の考え方と漏えい検知の自動化手法を解説します。

外部公開資産の漏えい検知が必要な理由
EASM(外部攻撃面管理)の基本
漏えい検知を自動化する3つのアプローチ
主要なEASMツールの比較
漏えい検知の運用設計ポイント
中小企業向けの段階的アプローチ
まとめ

外部公開資産の漏えい検知が必要な理由

まず、なぜ外部公開資産の管理が重要でしょうか。企業のIT環境は年々複雑化しています。クラウド利用の拡大で把握しきれない資産が増えています。たとえば、忘れられたサブドメインがあります。また、テスト環境の放置も問題です。さらに、APIキーの露出も深刻です。

攻撃者はこれらの「影の資産」を狙います。なぜなら、管理が行き届かない資産ほど脆弱だからです。実際、多くの情報漏洩は管理外の資産から始まります。そのため、外部から見える攻撃面の把握が第一歩です。

EASM(外部攻撃面管理)の基本

EASMは外部攻撃面管理のことです。インターネットから見える全資産を発見、監視、評価します。従来の脆弱性スキャンとは違います。まず「何が公開されているか」の発見から始めるのです。

しかし、従来のアプローチには限界がありました。手動の棚卸しは時間がかかります。また、クラウド環境は動的に変化します。そこで、自動化されたEASMツールが登場しました。

EASMの主要機能は4つあります。第一に、資産の自動発見です。ドメイン、IPアドレス、クラウドサービスを探索します。第二に、脆弱性の評価です。リスクを自動で判定します。第三に、設定ミスの検出です。たとえば、S3バケットの公開設定です。第四に、情報漏洩の検知です。認証情報やAPIキーの露出を監視します。

漏えい検知を自動化する3つのアプローチ

では、具体的にどう自動化すればよいでしょうか。3つのアプローチを紹介します。

第一は「ドメインとサブドメインの継続監視」です。DNSレコードを定期スキャンします。また、証明書透明性ログも監視します。さらに、WHOISデータの変化も追跡します。新しいサブドメインを自動検知する仕組みが重要です。OSSではNmap、Amass、Subfinderが使えます。つまり、管理外の資産を早期に発見できるのです。

第二は「シークレットスキャン」です。GitHubに誤ってコミットされた認証情報を検知します。TruffleHogやGitLeaksが有名です。CI/CDパイプラインに組み込むのが効果的です。特に、APIキーの露出は深刻な被害につながります。また、データベース接続文字列や秘密鍵の露出も危険です。なぜなら、これらはシステム全体への侵入に直結するからです。

第三は「ダークウェブ監視」です。自社の認証情報が闇市場で売買されていないか確認します。Recorded Future、Flare、SOCRadarなどのサービスが利用可能です。しかし、ダークウェブ監視だけでは不十分です。そのため、外部資産の発見と組み合わせることが大切です。

主要なEASMツールの比較

商用EASMツールは複数あります。Bitsightは2025年の製品強度1位です。Microsoft Defender EASMはAzure環境に強いです。また、CrowdStrike EASMは脅威情報との連携が特徴です。さらに、QualysやTenable、Rapid7も実績があります。

一方、OSSの選択肢も豊富です。OpenVASは脆弱性評価の定番です。OpenSCAPはコンプライアンスに強いです。また、OWASP NettackerはWebアプリの脆弱性発見に使えます。ただし、OSSは複数ツールの組み合わせが必要です。そのため、運用コストは商用より高くなることがあります。

漏えい検知の運用設計ポイント

ツール導入だけでは不十分です。運用設計が重要です。まず、スキャン頻度を決めましょう。最低でも週1回です。理想は毎日です。次に、アラートの優先順位付けを自動化します。全アラートの手動対応は現実的ではありません。

また、CMDB(構成管理データベース)との照合も大切です。CMDBに未登録の資産を「影の資産」と自動判定します。さらに、修正完了までチケットで追跡します。このように、発見から修正までのループを閉じましょう。

加えて、定期レポートを経営層に報告する仕組みも作りましょう。なぜなら、投資判断には経営層の理解が不可欠だからです。特に「管理外資産の発見数」は説得力のある指標です。また、修正までの平均日数も重要です。

中小企業向けの段階的アプローチ

大企業なら商用ツールを導入できます。しかし、中小企業には予算の制約があります。そこで、段階的なアプローチをおすすめします。

まず、GitHub上のシークレットスキャンから始めましょう。GitLeaksは無料で使えます。次に、Subfinderでサブドメインを探索します。さらに、NmapでポートスキャンをCI/CDに組み込みます。このように、OSSで基盤を作りましょう。その後、予算に応じて商用ツールを追加します。

特に、クラウド環境は定期的な棚卸しが重要です。AWSならConfig、AzureならDefenderが標準で使えます。つまり、追加コストなしで始められます。

まとめ

外部公開資産の漏えい検知は手動では限界があります。EASMツールによる自動化が不可欠です。具体的には、ドメイン監視、シークレットスキャン、ダークウェブ監視を組み合わせましょう。しかし、ツールだけでは不十分です。だからこそ、発見から修正までの運用サイクルを設計しましょう。また、OSSから始めて段階的に拡張する方法が中小企業にはおすすめです。特に、GitHubのシークレットスキャンは今すぐ始められます。