近頃、EASM(Enterprise Attack Surface Management)という単語を目にすることが多くなってきた。EASMとは、「当該企業が利用しているITリソースのなかで、外部からのサイバー攻撃を受ける可能性がある情報資産(アタックサーフェス)に潜む脆弱性を詳らかにするソリューション」である。ただ、このソリューションは、他サービスに比べて企業への導入が進んでいないことが調査結果から明らかとなった。本稿は、EASMがもたらす価値と検討時に比較すべき項目への理解を促すこととする。
EASMが市場に浸透するにつれ、企業でも同ソリューションが話題にされることが多くなってきた。その一方で、ITRが一般財団法人日本情報経済社会推進協会(JIPDEC)と共同で実施した調査によると、EASMについては、「利用済み」が25.5%、「予定なし」および「サービス自体を知らない」の合計が40.1%と、他のセキュリティサービスに比べて企業の導入や導入検討が最も進んでいないことがわかった(図1)。
この理由として、EASMを実現するソリューションが市場に出てからまだ日が浅いことに加えて、当該ソリューションの価値や評価軸が定まっていないこともあげられる。