2025年版 主要なサーフェス監視ツール

はじめに

2025年には、デジタル攻撃対象領域は動的なターゲットであり、その規模は膨大です。クラウドスプロール、シャドーIT、サードパーティSaaSにより、認識していないオンラインに公開された資産が存在する可能性があります。恐ろしいことに、組織の74%が未知または未管理の資産に起因するセキュリティインシデントを経験しています。企業が侵害を特定するまでに平均204日かかり、これは攻撃者が忘れ去られたウェブサイト、情報漏洩の可能性があるクラウドバケット、放置された古いAPIをエクスプロイトするのに十分すぎる時間です。生成AIとIoTの台頭は、セキュリティチームが制御しなければならないインターネットに面する資産（および隠れた脆弱性）の爆発的な増加を加速させています。

アタックサーフェスモニタリング（ASM）ツールは、この課題に対する現代的な解決策です。これらのプラットフォームは、ドメインやクラウドインスタンスからIP、IoTデバイスに至るまで、組織のデジタルフットプリントを継続的に発見・監視し、悪意のあるアクターが発見する前に露出を特定できるようにします。簡単に言えば、ASMツールはすべてを見通す警備員のように機能します。インターネットに公開されているすべての資産（忘れ去られたものも含む）をマッピングし、設定ミス、脆弱性、侵害の兆候がないか24時間365日監視します。インシデント発生後に困難な方法で知るのではなく、問題をプロアクティブに修正するためのリアルタイムアラートを受け取ることができます。もはや死角や「それが公開されているとは知らなかった」という瞬間はなくなります。

以下では、2025年の主要なアタックサーフェスモニタリングツールを詳しく見ていき、それぞれの特徴を解説します。まず、最も信頼されているプラットフォームの厳選されたリストから始め、その後、開発者、エンタープライズ、スタートアップ、オープンソース愛好家、統合脆弱性スキャン、クラウド資産発見といった特定のユースケースに最適なツールを詳しく分類します。(ご自身のニーズに合ったカテゴリにスキップすることも可能です。)

• 開発者向けベストアタックサーフェスモニタリングツール
• エンタープライズ向けベストアタックサーフェスモニタリングツール
• スタートアップおよび中小企業向けベストアタックサーフェスモニタリングツール
• ベストオープンソースアタックサーフェス発見ツール
• 統合された脆弱性スキャン機能を備えた最適なアタックサーフェスツール
• クラウド資産発見機能を備えたベストアタックサーフェスツール

アタックサーフェスモニタリング（ASM）とは？

Attack Surface Monitoring（外部アタックサーフェス管理、EASMとも呼ばれます）は、組織の外部に公開されているすべての資産を継続的にスキャンし、インベントリ化する実践です。企業がオンラインで公開しているすべてのウェブサイト、サーバー、APIエンドポイント、クラウドサービス、IPアドレスがアタックサーフェスです。ASMツールは、これらの資産（チームが立ち上げて忘れ去られたものも含む）の発見を自動化し、セキュリティ上の問題がないか監視します。要するに、ASMは、インターネット上のフットプリントと、悪意のある攻撃者が標的とする可能性のある露出を常に更新するマップを提供します。

どのように機能するのでしょうか？ASMプラットフォームは通常、既知のデータ（企業ドメイン名、IP範囲、クラウドアカウントなど）を使用することから始め、その後、スキャンと巧妙なOSINTを活用して関連するドメイン、サブドメイン、クラウドホスト、証明書などを発見するために範囲を広げます。それは玉ねぎの皮をむくようなものです。一つの資産を見つけ、そこから関連するものを発見していく、という具合です。最終的な結果は、包括的な資産インベントリです。資産が発見されると、ツールはそれらを脆弱性や設定ミスについて評価します。例えば、公開されたデータベース、パッチ未適用のサーバー、デフォルトの認証情報、期限切れの証明書など、侵害につながる可能性のあるあらゆる弱点です。重要なのは、これが一度限りのスキャンではないということです。ASMソリューションは継続的に（または少なくとも定期的に）実行され、新しい資産が出現したり、何らかの変更があった場合（例：新しいポートが開く、サイトが突然機密情報を公開するなど）にリアルタイムでアラートを発します。

ASMの目標はシンプルです: 死角をなくすことです。正確に何が公開されており、それが安全であるかを知ることで、攻撃者が簡単に侵入する機会を劇的に減らすことができます。これにより、これまで監視されていなかったIT資産のあらゆる暗い隅々に光が当たります。

アタックサーフェスモニタリングツールが必要な理由

• シャドーITと未知のアセットはリスクが高い：現代の組織は、公式なものから非公式なものまで、膨大な数のインターネットに公開されたアセットを抱えています。ASMツールは、開発者が立ち上げたテストサイトや公開されたマーケティングデータベースなど、「未知の未知」を自動的に発見し、見落としがないようにします。インシデントの4分の3が未管理のアセットに起因することを考えると、継続的な発見は不可欠です。
• 継続的な監視：アタックサーフェスは日々変化します。新しいクラウドインスタンスがオンラインになり、サブドメインが追加され、アプリケーションが更新されます。ASMプラットフォームは24時間365日監視し、変更や新たに導入された脆弱性を即座に把握できるようにします。これは、定期的な手動監査（遅く、頻度が低い）よりも優れています。攻撃者はリアルタイムで活動するため、こちらも同様であるべきです。
• Early Vulnerability Detection: 優れたASMツールは、アセットを見つけるだけでなく、それらのアセットにセキュリティ上の問題がある場合にフラグを立てます。例えば、AWS S3バケットが突然公開されたり、ウェブサーバーが既知のRCE脆弱性を持つバージョンで稼働している場合、攻撃者がそれをエクスプロイトする前にアラートを受け取ります。このプロアクティブなアプローチは、インシデント発生後ではなく、露出したアセットの段階で問題を修正することで、重大な侵害から保護できます。
• 修正の優先順位付け：優れたプラットフォームは、情報過多になることなく、最もリスクの高い露出を強調表示し、重要な点に集中できるようにします。例えば、脅威インテリジェンスを統合したり、リスクスコアリング（CVSSなど）を使用して、「これら2つの未知のアセットには重大な脆弱性があるため、まずこれらを修正してください」と指摘する場合があります。これにより、チームは重要度の低い問題に時間を費やすのではなく、真のリスク削減に集中できます。
• セキュリティワークロードの削減：自動化されたアセットの発見と監視により、セキュリティチームとDevOpsチームは、手動でインベントリを作成する手間から解放されます。このツールは tireless sentry として機能し、人間が退屈なスキャンを行う手間を省きます。アラートとレポートは、ワークフロー（Slack、Jira、メール）に直接統合できることが多く、IT担当者や開発担当者を修復プロセスにシームレスに含めることができます。要するに、ASMツールはアタックサーフェスの管理において、より賢く、より効率的に作業することを可能にします。
• コンプライアンスとレポート：多くの規制やセキュリティフレームワーク（PCI DSS、ISO27001など）は、組織がアセットと既知の脆弱性のインベントリを維持することを要求しています。ASMツールはこれらのインベントリを自動的に生成し、傾向（例：「今四半期に10件の高リスク露出を修正しました」）も追跡します。監査人が外部リスクをどのように発見し軽減しているかを尋ねた際、明確な証拠を提示できます。

さて、アタックサーフェス監視を容易にする主要ツールを見ていきましょう。これらのソリューションはそれぞれ、オンライン上のあらゆるものを発見し保護するための独自のアプローチを提供します。開発者向けプラットフォームからエンタープライズ規模のスキャナーまで、2025年の主要なアタックサーフェス監視ツールをご紹介します。

2025年版 主要アタックサーフェス監視ツール

(アルファベット順に記載 – 各ツールはアタックサーフェスを管理するために異なるアプローチを提供します。)

#1. Aikido Security

概要： Aikidoは、強力なアタックサーフェスモニタリング機能を内蔵したオールインワンのコードからクラウドまでのセキュリティプラットフォームです。この開発者ファーストのツールは、個人のセキュリティの黒帯のように機能し、コード、クラウド、インフラストラクチャ全体にわたる外部アセットと脆弱性を自動的に発見します。Aikidoは「ノイズなし、真の保護」という哲学で際立っており、AIを使用して誤検知を排除し、真に修正が必要なもののみを通知します。このプラットフォームは、SAST、コンテナスキャン、クラウド設定スキャンなど、多くのセキュリティ機能を統合しており、ASMはその多機能なツールセットの一部に過ぎません。

仕組み: 攻撃対象領域の監視では、Aikidoはコードリポジトリとクラウドアカウントからアセットを自動的にマッピングします。例えば、AikidoをAWSに接続すると、クラウドのリソース（サーバー、バケットなど）を特定し、DNSまたはドメインを接続すると、サブドメインとエンドポイントを見つけます。その後、それらのアセットを継続的にスキャンし、脆弱性、設定ミス、露出したシークレットなどを検出します。開発者が気に入っているのは、Aikidoが彼らが作業する場所に統合されることです。CI/CDパイプライン、GitHub、さらにはVS Codeにも連携するため、新しい露出が発見されると、ワークフロー内に表示されます（別途ポータルにアクセスする必要はありません）。

主な機能:

• 統合されたアセットおよび脆弱性スキャン: Aikidoは全範囲をカバーします。すべての資産（コード、クラウド、コンテナなど）を検出し、問題がないかスキャンします。外部ASMとコードセキュリティで別々のツールは不要です。Aikidoがそれらを統合します。この統合されたビューにより、ギャップが減少します。
• AI AutoFixとトリアージ: このプラットフォームは問題を指摘するだけでなく、その修正を支援します。AikidoのAI AutoFixは、ワンクリックでパッチや提案（例：脆弱なコンポーネントや開いているポートに対するもの）を生成できます‍。また、発見事項を自動トリアージし、エクスプロイト不可能な脆弱性のようなノイズは抑制されます。あるG2のレビュー担当者はAikidoの洗練さを強調しています。“UI/UXは素晴らしい…統合して使用するために多くの読解を必要としない数少ないツールの1つです！”。
• 即時アラート付き継続監視: Aikidoは攻撃対象領域を継続的に監視し、Slack、Jiraなどを介してリアルタイムアラートを送信します。新しい資産が出現したり、外部サイトで重大な脆弱性が発見されたりした場合、すぐに通知されます。「しまった、6ヶ月間も露出していた」といった事態はもうありません。Aikidoが数分以内に対応します。
• 開発者中心のワークフロー: Aikidoのすべては、開発者にとって非侵襲的であるように構築されています。簡単なセットアップ（クラウドSaaS、約30秒で結果取得）からGitやCIとの統合まで、開発ツールチェーンの自然な拡張のように感じられます。開発者はプルリクエストコメントやIDE警告としてセキュリティアラートを受け取り、ガイダンスに従って問題を修正し、コンテキストスイッチなしで作業を続けることができます。
• クラウド＆オンプレミス対応: 独自のインフラストラクチャでAikidoが必要ですか？厳格なコンプライアンス要件を持つ企業向けにオンプレミスデプロイメントを提供しています。新興スタートアップであろうと規制対象企業であろうと、お客様に適した環境でAikidoを実行できます。

最適な用途: 専任のセキュリティチームを持たないスタートアップや開発者ファーストの企業から、サイロ化されたツールの寄せ集めを置き換えたい大企業まで、あらゆる規模のチーム。Aikidoは、最小限のセットアップで即座に価値を求める組織に特に優れています。セキュリティの「無駄」に嫌悪感があり、ただ機能する（そして実際に自動的に問題を修正する）ツールを求めるなら、Aikidoは最良の選択肢です。(特典：Aikidoは無料プランを提供しており、コミットメントなしで簡単に試用できます。)

#2. Intruder

概要： Intruderは、そのシンプルさで知られるクラウドベースの脆弱性スキャナーおよびアタックサーフェス監視ツールです。Intruderを常時稼働のペネトレーションテスターと考えてください。外部システムを継続的にスキャンして弱点を見つけ、分かりやすい英語で警告します。Intruderは、通常の複雑さやコストなしでエンタープライズグレードのスキャンを提供するため、スタートアップ企業や中小企業の間で人気を集めています。外部ネットワーク、クラウド、Webアプリケーションをカバーし、結果に優先順位を付けることで、最初に取り組むべきことを把握できます。

仕組み: 資産情報（IPレンジ、ドメイン名、クラウドアカウント）を入力すると、Intruderがオープンポート、サービス、既知の脆弱性を検出します。一般的なCVEデータベースとセキュリティインテリジェンスを活用し、常に更新されるスキャナーを使用することで、パッチ未適用ソフトウェアから設定ミスのあるサーバーまで、あらゆるものを検出します。Intruderは継続的な監視も提供しており、スキャンを週次または月次でスケジュール設定でき、新しい問題が発生した場合はメールやSlackで通知します。

あるG2のレビュー担当者は、「“Intruderは、強力な脆弱性スキャンとクリーンで直感的なユーザーエクスペリエンスの素晴らしいバランスを提供します。”」と書いています。これはIntruderをよく表しています。内部では強力なスキャンが行われ、セキュリティ専門家でなくても理解できる形で提示されます。

主な機能:

• 継続的な外部スキャン: Intruderは、境界の脆弱性（オープンポート、古いソフトウェア、脆弱なTLS設定など）の発見に優れています。最新の脅威に対して継続的に更新されるため、新しい重大なCVE（例えばLog4Shell）が公開された場合、Intruderは自動的に資産をスキャンし、影響を受けているかどうかを通知できます。これは、新たな脅威に先手を打つ上で非常に重要です。
• 使いやすさと連携: このプラットフォームは、設計上シンプルです。UIはクリーンでセットアップは非常に簡単であり、多くのユーザーが数分で利用開始できる点を強調しています。定期的なスキャンをスケジュール設定し、アラートをSlack、Jira、またはメールに連携できます。Intruderはクラウドプロバイダー（AWS、GCP、Azure）とも連携し、新しいホストIPを自動的に取得するため、新しいインスタンスを立ち上げる際もスキャンが常に最新の状態に保たれます。
• 優先順位付けされた結果：Intruderは何千ものスキャン結果のダンプでユーザーを圧倒することはありません。リスクベースのアプローチを採用し、重大な問題を最上位に強調表示し（赤い危険アイコンなどで）、分かりやすい修正アドバイスを提供します。低リスクの問題は記録されますが、スパムのように大量に通知されることはありません。この優先順位付けにより、小規模チームはノイズに埋もれることなく、重要なことに集中できます。
• 脆弱性管理機能：問題の発見だけでなく、Intruderには基本的なチケット発行およびレポート機能があり、所有者を割り当てて修正を追跡できます。完全なVMプラットフォームではありませんが、監査人向けのCSV／PDFレポートを取得でき、ダッシュボードを使用してトレンドライン（例：「パッチ適用週後に高リスク脆弱性が50%減少」といったもの）を確認できます。
• 優れたサポート: 特筆すべきは、Intruderが迅速なサポートで知られている点です。質問がある場合や調整が必要な場合は、実際の担当者がサポートします。(2023年にはG2アワードのサポート部門で受賞しています。) このようにミッションクリティカルなツールにとって、優れたサポートは非常に重要です。

最適なユーザー: フルタイムのセキュリティエンジニアを雇用せずに堅牢な外部スキャンを求めるスタートアップ、中小企業、少人数のセキュリティチームに最適です。MSPやコンサルタントの場合、Intruderは単一のポータルで複数のクライアントのスキャンを管理するのにも優れています。基本的に、Intruderは「自分が危険にさらされているかどうかを知りたい、そしてそれが簡単であってほしい」と考える人々のためのものです。ディープなペンテスターが求めるような超微調整機能は不足しているかもしれませんが、ほとんどの組織にとって、包括的なスキャンとシンプルさという最適なバランスを実現しています。

#3. Detectify

概要： Detectifyは、Webアプリケーションセキュリティに重点を置いたASMツールです。エリート倫理的ハッカーの研究（彼らは新しい発見を提供する有名なハッカーコミュニティを持っています）によって強化されたWeb脆弱性スキャナーとして始まり、外部アタックサーフェス全体を監視するプラットフォームへと進化しました。Detectifyは、自動スキャナーが見落としがちな種類のバグ、例えば巧妙なXSS、ビジネスロジックの欠陥、Webアプリケーションの設定ミスなどを発見するのに優れています。監視すべきWebサイト、API、ドメインが多数ある場合、Detectifyはあなたのために作られています。

仕組み: Detectifyに1つ以上のドメイン名を提供すると、それをシードとしてサブドメインを検出し、それぞれを脆弱性のためにスキャンします。忘れがちな開発サイトやステージングサイトなどを含め、ウェブのフットプリントをマッピングするのに優れています。スキャナー自体は、実際のハッカーからの新しいペイロード（Crowdsourceプログラムを通じて）で継続的に更新されます。これは、新しい攻撃手法が発見されてからわずか数週間で、その手法を用いてアプリケーションをテストできることを意味します。UIは非常に開発者フレンドリーで、あるユーザーは“Detectifyは非常に使いやすいです。メール1通で稼働できました。ログイン認証用のChromeプラグインも素晴らしい利点です。”と述べています。この使いやすさにより、小規模な開発チームでも迅速に価値を得ることができます。

主な機能:

• 網羅的なWebスキャン: Detectifyは、Webアプリケーションにおける2000以上の既知の脆弱性（OWASP Top 10以降）をチェックします。これにはSQLi、XSS、CSRF、SSRFなどが含まれます。また、公開された管理パネル、デフォルトの認証情報、公開GitHub上のAPIキー、その他の一般的な情報漏洩ポイントなども探します。基本的に、熟練したハッカーが定期的にWebアセットのペンテストを行うようなものですが、それが自動化されています。
• アセットディスカバリとサブドメイン監視: このツールは、ルートドメインに関連するサブドメインを列挙し、それらを監視します。新しく出現するサブドメイン（新しいサービスが立ち上げられたことを示す可能性があります）についてアラートを発したり、サブドメインテイクオーバーのリスク（放棄されたサブドメインが攻撃者によって乗っ取られる可能性のある、クールなニッチな問題。Detectifyはその発見のパイオニアでした）を検出したりすることもできます。
• クラウドソーシング型セキュリティテスト: これがDetectifyの秘訣です。彼らは、新しい発見に貢献するホワイトハッカーのコミュニティを活用しています。これらのハッカーが新しいエクスプロイトやトリックを発見すると、Detectifyはそれに対する自動テストを追加します（そして彼らにクレジットを与えます）。これは、通常のCVEチェックを超えた最先端のテストが得られることを意味します。例えば、新規のCMSエクスプロイトやフレームワークの設定ミスは、他の誰よりも早くDetectifyのスキャナーに追加されることがよくあります。
• 連携とレポート: Detectifyは、結果をJira、Slack、またはSIEMに連携させる機能を提供します。CI/CDにも設定でき（デプロイ時にステージング環境やテスト環境をスキャンするため）、レポートは開発者向けで、問題、発見場所、修正方法を明確に示します。また、各検出結果にはリスクスコアも提供されるため、何を優先すべきか把握できます。
• 複数のスキャンプロファイル: さまざまなニーズに合わせて異なるスキャンプロファイルを設定できます。例えば、徹底的なチェックのための“フルスキャン”（時間がかかります）と、重要なページに対する軽いタッチの“クイックスキャン”です。この柔軟性は、多くのアセットを保有している場合や、特定のアプリケーションを他のアプリケーションよりも頻繁にスキャンしたい場合に便利です。

最適な用途: 製品企業、SaaSプロバイダー、および多数のWebアプリケーションやAPIを持つあらゆる組織。Detectifyは、Webフロントエンドを保護する必要があり、一般的なスキャナー以上のものを求める開発チームに特に愛用されています。大規模なAppSecチームがない場合、Detectifyは外部Web資産を監視する自動化された専門家として機能します。バグバウンティ管理にも有用で、Detectifyを実行することで、研究者が発見する前に簡単な脆弱性を捕捉できます。ハッカー部隊を雇うことなくWebセキュリティテストを強化したい中規模企業は、Detectifyを真剣に検討すべきです。

#4. Microsoft Defender External Attack Surface Management (RiskIQ)

概要: Defender EASMは、2021年のRiskIQ買収に基づいて構築された、Microsoftによるアタックサーフェス管理のソリューションです。これは、組織がインターネットに公開しているすべてをマッピングすることを目的とした大規模エンタープライズプラットフォームです。すでにMicrosoftセキュリティエコシステム（Defender、Sentinelなど）を利用している場合、このツールはその可視性を外部に拡張します。Defender EASMをアセットの検索エンジンと考えてください。ドメイン、IP、クラウドインスタンスなどを継続的に発見し、そのデータをMicrosoft Defenderスイートに供給して分析とアラートを行います。

仕組み: 内部では、RiskIQの膨大なインターネットデータセット（ウェブ全体、DNS、証明書ログなどをスキャンしています）を使用して、組織への接続を見つけ出します。例えば、企業名、ドメイン、ASNに基づいて、忘れられたドメイン上の古いマーケティングサイトや、孤立したアプリケーションをホストしているAzure IPブロックを発見する可能性があります。Defender EASMはその後、Microsoftの脅威インテリジェンスを使用して、これらのアセットの脆弱性や異常をプロファイリングします。これは詳細な脆弱性スキャン（Nessusではありません）というよりも、広範な可視性とリスクスコアリングに重点を置いています。

G2のユーザーレビューでは、その使いやすさが強調されています。“使いやすく、統合も簡単です。外部アセットのシンプルながら効果的なビューを提供します。” Microsoftは、既存のMSFT顧客向けにインターフェースをワンクリックで操作できるように明らかに努力しており、大規模なセットアップなしで有効にして発見を開始できます。

主な機能:

• グローバルアセットディスカバリ: RiskIQのデータのおかげで、Defender EASMはディスカバリ機能に優れています。パッシブDNS、インターネット全体にわたるポートスキャン、さらにはWHOISレコードなどを活用して、組織に関連するアセットを特定します。企業がM&Aを通じて取得したドメインや、インターンが数年前に立ち上げたテストサイトなど、完全に忘れていた（または知らなかった）存在を明らかにすることができます。
• Azure統合: 当然のことながら、AzureおよびMicrosoft 365と密接に連携します。Azure AD/テナントと接続し、クラウドリソースに関する情報を確実に把握できます。また、EASMからの検出結果は、Microsoft DefenderセキュリティセンターまたはSentinel SIEMにパイプラインで送ることができます。これにより、外部アセットのリスクを内部アラートと同じ画面で確認でき、Microsoft中心の企業にとって便利です。
• リスクスコアリングとインサイト: 発見された各アセットには、検出された問題（オープンポート、既知のCVE、マルウェアホスティングなど）に基づいてリスクスコアが割り当てられます。Defender EASMは、例えば「これらの5つのアセットは高リスクです」と指摘し、その理由（例: 1つはデータベースが公開されている、1つはサポート終了のOSで実行されている）を説明します。また、コンテキストも提供します。例えば、帰属の確信度（「このドメインはX、Y、Zの理由により、99%貴社のものであると確信しています」）などがあり、これは大規模企業で誤検知をフィルタリングするのに役立ちます。
• 継続的な監視とアラート: このプラットフォームはアセットインベントリを常に更新し、変更があった場合にアラートを発します。新しいサブドメインが出現したり、既存のアセットのリスクスコアが突然上昇したりした場合（おそらく新しい脆弱性が発表された場合など）、Defenderインターフェースまたはメール経由でアラートが届きます。基本的に、外部境界を厳重に監視し、注意が必要な事態が発生したときに通知します。
• Microsoft脅威インテリジェンスとの統合: Microsoft製品であるため、Microsoftの脅威インテリジェンスフィードから恩恵を受けます。例えば、貴社のIPの1つが突然ボットネットのブラックリストに表示されたり、既知の脅威アクターインフラストラクチャと通信していることが観測されたりした場合、Defender EASMはそのコンテキストをフラグ付けします。これは、貴社の構成を見るだけでなく、貴社のアセットが世界の他の部分（攻撃者）からどのように見られているかをも監視します。

最適な用途: 大規模組織およびMicrosoft中心の企業。すでにMicrosoftのセキュリティスタックに投資している場合、Defender EASMは追加するのにほとんど迷う必要がない選択肢です。これは「外部スキャン」のギャップを慣れた方法で埋めます。特に、広範なドメインとグローバルな運用を持つ企業にとって有用であり、手動ですべてを追跡することが不可能な場合に役立ちます。政府機関、金融機関、Fortune 500企業は、そのインテリジェンスの深さを高く評価するでしょう。ただし、単一ドメインの小規模スタートアップの場合、これは過剰な機能となる可能性があります（そしてMicrosoftの価格設定はおそらくエンタープライズに焦点を当てていることを反映しています）。要するに、広範なカバレッジを求め、Microsoftのやり方（統合、ダッシュボードなどすべて）に問題がないのであれば、Defender EASMを選択してください。

#5. Palo Alto Networks Xpanse (Cortex Xpanse)

概要: Xpanse（旧Expanse、現在はPalo Alto Cortexの一部）は、リアルタイムのインターネットスキャンに特化したエンタープライズグレードのAttack Surface Managementプラットフォームです。Xpanseは、組織に関連するあらゆるものをインターネット全体で継続的に検索する巨大なスポットライトのようなものだと考えてください。米国国防総省のような企業が数百万のアセットを追跡するためにXpanseを使用するなど、大規模な運用で知られています。広大なIP空間やグローバルインフラストラクチャをお持ちの場合、Xpanseはその規模に対応できるよう構築されており、他では得にくいネットワークの外部からの視点を提供します。

仕組み: Xpanseは、継続的に更新される独自のインターネットマップを維持しています（Googleがウェブをインデックスするのと同様に、Xpanseはデバイスとサービスをインデックスします）。オンボーディング時に、シード情報（企業名、既知のドメイン、IP範囲など）を提供すると、Xpanseのエンジンが、クラウドインスタンス、パートナーインフラストラクチャなど、組織に属する可能性のあるすべてのアセットを検出します。その後、それらのアセットを監視し、危険なサービスや脆弱性を検出します。Gartnerのピアレビューでは、「全体として、Xpanseはセキュリティ体制を強化し、アタックサーフェスを減少させる優れたソリューションです」と述べられています。重視されるのは網羅性であり、Xpanseは最も詳細なアプリケーションレベルのテストは行わないかもしれませんが、どこかのIPでデータベースが検出された場合、Xpanseがそれを特定します。

主な機能:

• 比類なきインターネット規模の検出: Xpanseの特長は、70以上のポートを対象に40億以上のIPv4アドレスを1日に複数回、継続的にスキャンすることです。そのため、組織内で誰かがサーバーを立ち上げ、インターネットに接続した場合でも、Xpanseは次のスキャンサイクルでそれを検出する可能性が高いです。検出された結果は、既知のアセットパターンと関連付けられ、それらの帰属が特定されます。この圧倒的な規模により、Xpanseは他のツールが見落としがちなアセットを頻繁に発見します。これは、DNSやクラウドAPIのみを使用するのではなく、全体を網羅的に調査しているためです。
• リスクの優先順位付けと問題検出: Xpanseは、各アセットについて、本来開かれるべきではないポート（例：RDP、データベースポート）、設定ミスのあるサービス、またはポリシー違反（例：プロキシの背後にないS3バケット）などの問題を特定します。そして、これらの問題を深刻度に応じて優先順位付けします。適切にタグ付けされていれば、プラットフォームは「これは開発サンドボックスである」と「これは本番の顧客データである」を区別でき、実際のエクスポージャーの優先順位付けに役立ちます。Cortexとの連携により、これらの問題はPalo Altoのセキュリティ運用製品に直接連携され、対応が可能です。
• 自動アラートとワークフロー: Xpanseでは、「当社の環境ではMongoDBをインターネットに公開してはならない」といったポリシーを設定できます。そのポリシーに違反して、いずれかのIPアドレスでMongoDBサービスが検出された場合、直ちにアラートを発します。また、ITSMやメッセージングツール（ServiceNow、Teamsなど）と連携し、適切なチームに通知を送信できます。本質的に、Xpanseは、本来存在すべきではない場所に不正なアセットや脆弱なアセットが出現した場合の早期警告システムとして機能します。
• サードパーティのエクスポージャー管理: 興味深いことに、Xpanseはサプライチェーンの攻撃対象領域についても洞察を提供できます。例えば、プラットフォーム内で重要なベンダーや子会社を追跡することが可能です。もしソフトウェアサプライヤーが完全に公開されたサーバーを持っている場合、Xpanseはそのリスクを（サプライヤーが侵害され、間接的に影響を受ける前に）あなたに提示できます。これにより、監視範囲は自社組織だけでなく、エコシステム全体にまで拡大されます。
• 堅牢なレポートと分析: エンタープライズソフトウェアであるXpanseは、豊富なレポート機能を提供します。攻撃対象領域のリスクが時間とともにどのように変化しているかのトレンドライン、事業部門ごとの内訳、さらには「今四半期にインターネットに面した高深刻度の問題をX%削減しました」といった役員レベルのサマリーも取得できます。これは、セキュリティチームが進捗を追跡するのに役立つだけでなく、予算の正当化（リスク削減を示すことで）にも貢献します。

最適な対象: 非常に大規模な企業、政府機関、および広範なネットワークを持つ組織。オンプレミスデータセンター、複数のクラウドプロバイダー、多数の事業部門などにまたがるアセットを保有し、「インターネットに危険なものが公開されていない」という基準を徹底する必要がある場合、Xpanseが最適なツールです。特に、クラウドトランスフォーメーションやM&Aを進めている企業で、新しいアセットが絶えず追加される環境において非常に有用です。ただし、中小企業にとっては、Xpanseは過剰な機能（かつ高価）である可能性があります。数万のIPアドレスと高い変化率を持つ環境でこそ、その真価を発揮します。要約すると、大規模なインターネット全体にわたる可視性が必要で、そのインテリジェンスに基づいて行動する成熟度がある場合（多くの場合、強力なSecOpsプログラムと組み合わせて）、Xpanseを選択してください。

#6. Tenable.asm

概要： Tenable.asmは、TenableがBitDiscoveryを買収したことにより誕生した、Tenableの外部アタックサーフェス管理ソリューションです。Nessus（脆弱性スキャン）でTenableをご存知の方であれば、これはそもそも何をスキャンすべきかを見つけるためのソリューションです。Tenable.asmは、外部アセットの発見に焦点を当て、それを脆弱性データと結びつけることで、包括的なリスク像を提供します。Tenable.scまたはTenable.ioを脆弱性管理にすでに利用している組織にとって、Tenable.asmはファイアウォールの外にある未知の未知をカバーするための自然な拡張機能となります。

How it works: シード情報（ドメイン、会社名など）を入力すると、Tenable.asmはインターネットスキャンとデータ集約を組み合わせて、ドメイン、サブドメイン、IP、証明書、クラウドホストといったアセットを列挙します。発見後、Tenableの脆弱性知識と統合し（さらにそれらのアセットに対してNessusスキャンをトリガーすることも可能）、重要な問題を特定します。基本的に、Tenable.asmは攻撃対象領域をマッピングし、そのマップ上に脆弱性スキャン結果を重ねてコンテキストを提供します。SentinelOneのまとめによると、「Tenable ASMは外部アセットを発見し、Tenable Risk Detailを用いて、特に重要な脆弱性から修復活動の優先順位付けを組織が支援します。」実際には、これはアセットを発見し、修正が必要な高深刻度脆弱性があるかどうかを即座に通知することを意味します。

主な機能:

• 外部アセットの検出: Tenable.asmは、BitDiscoveryの技術を活用して、外部に公開されているアセットをスキャンします。DNS、IPデータ、ウェブコンテンツなどを継続的に監視し、組織に関連するあらゆるアセットを検出します。例えば、新しいサブドメインが登録された直後にそれを捕捉したり、アカウントに関連付けられたIP範囲に突然出現したクラウドVMを認識したりすることがあります。この自動化されたインベントリは、ほぼリアルタイムで更新されます。
• Tenableリスクスコアリング: 各アセットには、Tenableの膨大な脆弱性データベースに影響されたリスクスコアが付与されます。Nessusプラグインがクリティカルとフラグを立てる脆弱なサービス（例えばCVSS 10.0の脆弱性）がアセットで実行されている場合、そのアセットのリスクスコアは急上昇します。これにより、最も危険な外部の問題にまず焦点を当てることができます。例えば、「500の外部ホストのうち、これらの5つにクリティカルな脆弱性（Apache StrutsのRCE脆弱性など）があります。今すぐ修正してください。」といった具合です。
• Tenable.io/Tenable.scとの連携: Tenableを内部の脆弱性管理に使用している場合、Tenable.asmは検出されたアセットをスキャンスケジュールやアセットリストに連携できます。逆に、Tenable.ioから既存のスキャンデータを取得し、ASMビューを強化することも可能です。これはギャップをなくすのに非常に役立ちます。ASMで何か新しいアセットが検出された場合、すぐに詳細なNessusスキャンをトリガーしたり、クリック一つで既存のスキャンリストに追加したりできます。
• クラウド資産の連携: Tenable.asmは同様にクラウドアカウントと連携し、AWS、Azure、GCPに接続してアセット情報（ホスト名、タグなど）を取得し、アトリビューションを向上させます。また、クラウドの設定ミスに関する検出結果（Tenable Cloud Securityなどを使用している場合）もインポートするため、公開されているクラウド資産が把握されるだけでなく、設定の問題（オープンなS3バケットなど）についても評価されます。
• ユーザーフレンドリーなダッシュボード: TenableはASMデータを理解しやすいものにするよう努めています。ダッシュボードでは、トレンド（外部攻撃対象領域は時間とともに減少しているか）、アセットの地理的マップ、便利なフィルター（クラウドとオンプレミス、ドメイン別、事業部門別など）を表示できます。これにより、セキュリティチームや役員はインターネットに公開されている範囲を視覚化し、改善状況を追跡するのに役立ちます。

最適な対象: Tenableエコシステムを既に利用している組織、またはアセット検出と脆弱性管理を密接に連携させたい組織。中堅から大企業は、Tenable.asmが提供するコンテキストから恩恵を受けるでしょう。特に、多くのレガシーIP空間を保有している場合や、ウェブに公開された忘れられたレガシーシステムなどについて懸念がある場合に有効です。Nessusを使用している場合、Tenable.asmは重要なすべてをスキャンしていることを保証することで、パズルを完成させます。Tenableを使用していない中小企業にとっても、堅実なASMの選択肢ですが、Tenableのスキャンおよびリスクスコアリングと組み合わせることで真価を発揮します（そうでない場合、十分に活用できない機能に費用を支払うことになるかもしれません）。要約すると、Tenable.asmは、「アセットの検出 → 脆弱性の発見 → 修正」という一連のワークフローをシームレスに実行するための「ワン・ペイン・オブ・グラス」を求めるチームに最適です。

攻撃対象領域の監視における主要なツールについて説明しましたので、次にこれらのツール（およびその他のいくつか）を特定のユースケースに当てはめてみましょう。意欲的な開発者、エンタープライズのセキュリティ責任者、スタートアップの創業者、オープンソース愛好家など、それぞれの立場によって「最適な」選択肢は異なる場合があります。以下に、各シナリオにおける最適な選択肢を詳しく説明します。

開発者向けベストアタックサーフェスモニタリングツール

開発者は、最小限の摩擦でワークフローに適合するセキュリティツールを求めています。開発者にとって最適なASMツールは、コーディングおよびCI/CDプロセスと統合され、高速で動作し、開発者が使用するツール内で実用的な結果（できれば修正案付き）を提供します。扱いにくいダッシュボードや誤検知の嵐に我慢はできません。開発者が必要としているのは、ノイズではなくシグナルであり、作業を遅らせない自動化です。以下に、開発者フレンドリーな体験のために厳選されたツールをご紹介します。

• Aikido –「セキュリティを自動化してください」– Aikido は開発者に最適です。セキュリティチェックを開発プロセスに直接組み込むためです。リポジトリやCIに接続すれば、コード、クラウド設定、外部資産を継続的に監視し、問題を検出します。異常があれば開発者は即座に通知を受け取れます（プルリクエストのコメントやIDEのヒントとして）。さらにAI AutoFix はパッチを生成AI AutoFix 要するに、眠らないセキュリティ専門家がチームに加わったようなものです。開発を続けながら、 Aikido が静かに露出しているエンドポイントや脆弱なパッケージを見つけ出し、修正案をそっと提案します。開発者にとって理想的なセキュリティの定義そのものです。
• Detectify – 「自動操縦のウェブハッキング」 – ウェブアプリケーションを開発する開発者にとって、Detectifyはセキュリティのための tireless QAテスターのように機能します。開発パイプラインに統合したり、ステージングサイトで実行したりできます。開発者は、セキュリティの専門家でなくても理解できる、明確で洞察に富んだレポートを提供してくれる点を高く評価しています。XSSや設定ミスがある場合、Detectifyはそれを修正する方法を平易な言葉で伝えます。また、認証済みスキャンを支援するChrome拡張機能も備えています（アプリにログインするだけで、Detectifyはそのセッションを利用できます）。開発者は、ドメインを検証するだけで設定が驚くほど簡単であると感じています。これにより、スキャナーの設定に時間を費やすことなく、より多くの時間をコーディングに充てることができます。
• Shodan & Censys – “自身の露出を知る” – これらは従来のASMプラットフォームではありませんが、開発者はShodanやCensysを、外部への露出をスポットチェックするための迅速なツールとして利用できます。新しいAPIを構築する際、開発者はShodanで自身のドメインやIPを検索し、オープンポートやサービスが世界に公開されているかどうかを即座に確認できます。これは、攻撃者が外部からアプリケーションをどのように見ているかを知るために、自身をGoogle検索するようなものです。包括的な監視ではありませんが、時折Shodanスキャンを開発チェックリスト（または自動テスト）に組み込むことで、明らかな問題（例：「しまった、あのテストデータベースが公開されている！」）を早期に発見できます。さらに、基本的な使用は無料であり、安全なコードの出荷に関心のある開発者にとって実用的な追加機能となります。
• OWASP Amass (DIY開発者向け) – “独自の偵察を構築する” – スクリプト作成や試行錯誤が好きな開発者であれば、OWASP Amassはコマンドラインを介してアセット (特にサブドメインとIP) を発見するためのオープンソースツールです。ポイントアンドクリックではありません。実行して結果を解析する必要がありますが、CIパイプラインでの発見の自動化には強力です。たとえば、開発者はデプロイごとにAmassに新しいアプリのサブドメインを列挙させ、予期しないサブドメインが出現した場合にアラートを出すことができます。軽量でハッキング可能であり、オープンソースソリューションを好むDevSecOpsツールチェーンに楽しい追加となるでしょう。

(特筆すべき点: ProjectDiscoveryのSubfinderやNucleiのようなツールも、自動化を好む開発者に愛用されています。Subfinderはサブドメインの発見に、Nucleiはコードとしてのテンプレート化された脆弱性スキャンを実行するために使用されます。これらはある程度のセキュリティ知識を必要としますが、カスタム要件のためにCIにスクリプト化できます。）

エンタープライズ向けベストアタックサーフェスモニタリングツール

企業は通常、より広範なセキュリティスタックとの規模、ガバナンス、および統合を重視します。優れたエンタープライズASMツールは、一元管理、ロールベースアクセス制御（RBAC）、コンプライアンスレポート、および複雑な環境における数万のアセットを処理する能力を提供します。これらのツールは、ITSM（ServiceNowなど）、SIEM、その他のセキュリティツールと統合し、複数のチームのワークフローをサポートする必要があります。また、企業は発見だけでなく、修復およびリスク管理プロセスと連携するプラットフォームを求めることがよくあります。これらのニーズに合致する主要なツールは以下の通りです。

• Aikido –「開発者優先、しかしエンタープライズ対応」– Aikido は小規模な開発チームだけのものではありません。企業もオールインワンのアプリケーションセキュリティプラットフォームとして高く評価しています。大規模組織が Aikido が複数のサイロ化されたツール（SAST、コンテナスキャン、CSPM）を単一の統合システムで置き換えられる点を高く評価しています。シングルサインオン（SSO）、大規模チーム向けRBAC、オンプレミス導入オプション（厳格なコンプライアンス環境向け）、コンプライアンスフレームワークへの標準対応など、企業必須機能を標準装備。特に重要なのは、ノイズ優れたスケーラビリティを発揮することです。数千の資産をオンボードしても、 Aikidoのスマートフィルタリングにより、中央セキュリティチームが誤検知に埋もれることはありません。コードセキュリティと攻撃対象領域の両方を単一ソリューションで管理しようとする企業にとって、 Aikido は、重厚なエンタープライズソフトウェアのような印象を与えずに、まさに「単一画面」を実現します。
• Palo Alto Cortex Xpanse – “インターネット規模の監視役” – Xpanseは、大企業（Fortune 500や政府機関など）にとって最高の選択肢です。大規模なIPフットプリントを持つ組織に完全なインターネット可視性を提供します。企業はXpanseのセキュリティ運用との統合能力を高く評価しています。SIEMにデータを送り込み、自動化されたプレイブックをトリガーし（例：重大な露出が発見された場合にチケットを作成する）、単一のプラットフォーム内で組織構造（複数の子会社など）を処理できます。Xpanseを使用すると、企業のセキュリティチームは、インターネット上にある会社のすべてのものを継続的に更新されるライブマップとして把握できます。大規模な展開で実証済みであり、10万以上のIPを持つグローバル企業であれば、Xpanseは文字通りそのような企業を念頭に置いて構築されています。
• CyCognito – “外部からの攻撃者視点”：CyCognitoは、ハッカーの視点を持つエンタープライズグレードのASMとして位置付けられています。検出（シャドーITの発見）に優れており、さらに一歩進んで、攻撃者の手法をシミュレートしてそれらのアセットを調査します。企業は、CyCognitoが単にアセットをリストアップするだけでなく、攻撃者が取る可能性のある最も悪用可能な経路を積極的に特定することを高く評価しています。また、経営層向けの分かりやすいリスクスコアを提供し、ワークフローのためにチケットシステムと統合することも可能です。あるG2のレビュー担当者は、「CyCognitoは隠れたアセットを発見し、大きなリスクを優先します…既存のツールとうまく連携します」と述べており、これは企業がノイズを排除するためにまさに必要なものです。未知のクラウドインスタンスや忘れられた事業部門がサービスを立ち上げることについて懸念している大規模組織に対し、CyCognitoは管理された優先順位付けされたビューを提供します。
• Microsoft Defender EASM – “Microsoft環境にシームレス” – Microsoft（O365、Azure、Defenderスイート）に深く投資している企業は、Defender EASMのネイティブ統合と広範なカバレッジに魅力を感じるでしょう。最も詳細なツールではありませんが、広範囲に網を張り、その情報を既存のMicrosoftセキュリティダッシュボードに集約するのに非常に優れています。大企業はE5ライセンスなどを既に持っていることが多く、EASMの追加は比較的容易な調達となります。外部インベントリを必要とし、Microsoftエコシステム内で物事を管理したいエンタープライズITチームにとって最適です（すべてのクラウド連携、コンプライアンス保証、およびそれに伴うサポートを含みます）。さらに、Microsoftの脅威インテリジェンスフィードは、国家支援型攻撃やAPTの脅威から自社のアセットを保護することを懸念する企業にとって強力な選択肢となります。
• Tenable.asm – “アセットを知り、脆弱性を知る” – 成熟した脆弱性管理プログラムを持つ企業は、カバレッジを補完するためにTenable.asmを選択することがよくあります。すでに内部スキャンを実行しており、アセットの見落としがないことを確認したい大企業に最適です。Tenableの脆弱性データとの統合により、エンタープライズリスクダッシュボードで外部露出 + 内部脆弱性ステータスを1か所で表示できます。コンプライアンス重視の組織（金融、ヘルスケアなど）にとって、Tenable.asmは、外部リスクを特定し修復するための継続的なプロセスがあることを示すのにも役立ちます。これは監査人が好む点です。そしてTenableであるため、数千のアセットにも容易に拡張でき、エンタープライズのレポート構造に適合します。

(特筆すべき点： IBM QRadar Attack Surface Manager（Randori買収による）は、継続的な外部ハッキングシミュレーションを提供する、もう一つのエンタープライズ向けツールです。IBM環境の企業は、SIEMとの緊密な統合のために検討するかもしれません。また、CrowdStrike Falcon Surfaceは、既にCrowdStrikeを使用している企業にとって検討に値します。これは、同社の脅威インテリジェンスとデバイスに関する専門知識をASMにもたらします。）

スタートアップおよび中小企業向けベストアタックサーフェスモニタリングツール

スタートアップ企業や中小企業には、費用を抑えつつも期待以上の効果を発揮するセキュリティツールが必要です。主な優先事項は、手頃な価格（無料または低コストのティア）、簡単なセットアップ（専任のセキュリティエンジニアを置く時間がないため）、そして低いメンテナンスコストです。このセグメントに最適なソリューションは、最小限のチューニングで強力なデフォルトセキュリティインサイトを提供し、企業の成長に合わせて拡張できることが理想的です。また、柔軟性も重要です。スタートアップ企業の技術スタックは急速に変化するため、複数のアセットタイプ（クラウド、ウェブ、コード）をカバーするツールは利点となります。若い企業にとって優れた選択肢を以下に示します。

• Aikido –「セキュリティチーム・イン・ア・ボックス」– セキュリティ要員がいないスタートアップ向けに Aikido はまさに天の恵みです。これは基本的に自動化されたセキュリティプラットフォームであり、数分で使い始められます（GitHubとクラウドアカウントを接続するだけで完了）。スタートアップが Aikido が提供する豊富な無料プランと、成長に伴う定額料金体系（資産数やスキャン数に応じた追加費用なし）を高く評価している。コードとクラウドをカバーするため、複数のツールを使い分ける必要もない。あるスタートアップのCTOはこう語る Aikido は「セキュリティ専門家ではなくエンジニアのニーズに合わせて設計されたツールのように感じる...手頃な価格を考えれば、どんな小規模企業にとっても迷う余地のない選択だ」と評している。要するに、スタートアップはほぼゼロの労力で即座にセキュリティ態勢を整えられ、セキュリティ担当者を雇えるようになるまで（そしてその後も）、その役割を代行してくれるのだ。
• Intruder – “設定すればあとはお任せの外部スキャン” – Intruderは、非常にアクセスしやすいパッケージで継続的な脆弱性監視を提供するため、SMB層に非常に人気があります。小規模企業の場合、ドメイン/IPを入力するだけでIntruderをバックグラウンドで実行させ、何か重要な問題が発生した場合にはメールで通知を受け取ることができます。料金設定はリーズナブルで、小規模環境向けに段階的になっています。また、負担が大きくないことも重要です。これは、専任のセキュリティ担当者がいない場合に特に重要です。多くのMSPがSMBクライアントを保護するためにIntruderを使用しており、その規模に適していることを示しています。クラウドサーバーを数台持ち、VPNを使用している20人規模の企業であれば、Intruderがそれらを監視し、例えばポートを開いたままにしたり、パッチを適用し忘れたりした場合に通知します。これは、成長中のスタートアップが必要とする基本的なセキュリティ衛生そのものです。
• Detectify（スタータープラン） – 「Webセキュリティを自動操縦」 – 主にWebアプリやSaaS製品を提供するスタートアップにとって、Detectifyのエントリープランは非常に高いコストパフォーマンスを提供します。ペンテストやセキュリティチームを雇う余裕がない場合でも、継続的なWeb脆弱性スキャンを利用できるのは大きなメリットです。クラウドベースで非常に使いやすく、小規模な開発チームに最適です。Detectifyは、ユーザー（または攻撃者）が発見する前に一般的な欠陥を特定するのに役立ち、結果の解釈に高度なセキュリティ知識は必要ありません。本質的に、これはアプリのセキュリティにとって手頃なセーフティネットです。規模が拡大しても（上位プランもあります）、SMBsにとっては、自動化されたハッカーの知識がもたらす価値は計り知れません。
• Tenable.asm (コミュニティ / 中小企業向け) – “小規模企業向けの無料アセット検出” – Tenable.asmは大規模企業だけのものではありません。無料のコミュニティエディション（Qualys CE経由）を提供しており、限られた数のアセット（例：3つの外部アセットを無料で）監視できます。非常に小規模な企業であれば、これでニーズを十分に満たせるかもしれません。アセットを検出し、基本的な脆弱性分析を実行します。機能は限られていますが、価格（無料）は適切であり、より構造化されたアプローチを導入できます。成長に合わせて、有料プランにアップグレードできます。これは、資金が限られているスタートアップが、初日からセキュリティにおけるデューデリジェンスを実証したい場合に賢明な選択肢です。

(特筆すべき点： SecurityTrails SurfaceBrowserは、アセットとDNSレコードのオンデマンド検索を提供し、中小企業による迅速なチェックに役立ちます。また、reNgine（UI付き）のようなオープンソースオプションは、ある程度の技術的知識があれば安価にセルフホストできます。洗練されているわけではありませんが、無料で、小規模な環境での多くの偵察活動を自動化できます。）

ベストオープンソースアタックサーフェス発見ツール

すべての組織が高度なプラットフォームに予算を割けるわけではありません。また、一部のセキュリティ愛好家や組織は、柔軟性や透明性のためにオープンソースソリューションを好みます。オープンソースのアタックサーフェスツールは、一般的に多くの労力（およびコーディング/スクリプト作成）を必要としますが、コミュニティによって検証された機能を提供し、商用ASMソリューションに近いものとして組み合わせることが可能です。アタックサーフェス発見のための主要なオープンソースツール/プロジェクトを以下に示します。

• OWASP Amass – “偵察の強力なツール” – Amassは、外部アセットのマッピングに最もよく知られたオープンソースツールの1つです‍。サブドメイン列挙とネットワークマッピングに特化しています。Amassにルートドメインを入力すると、OSINT (DNSレコード、証明書、ウェブデータ) を介してサブドメインを列挙し、関連するIPブロックを発見し、ドメイン間の関係をマッピングします。CLIベースで非常に設定可能であり、APIキーを介して多数のデータソース (Shodan、VirusTotalなど) を接続して機能を強化できます。Amassは問題を修正したりリスクをランク付けしたりしませんが、発見エンジンとしては一流です。多くの商用ツール (このリストの一部も含む) は、Amassを密かに内部に組み込んでいます。実行するスキルがあれば、AmassはDIY ASMパイプラインの核を形成できます。(プロのヒント: cronのようなスケジューラと組み合わせて定期的に実行し、結果をdiffツールにパイプして新しい変更を確認してください。)
• reconFTW – 「強化された自動化」 – reconFTWは、本質的に数十もの他のオープンツールを1つの自動化されたワークフローに統合するオープンソースプロジェクトです。Amass、Subfinder、Nmapなどを使用して偵察を実行し、その後、Nucleiやffufのようなツールを使用して脆弱性スキャンも実行します。その結果、1つのコマンドでサブドメインを列挙し、一般的な脆弱性をスキャンし、統合レポートを出力できる一種のワンストップスクリプトとなります。強力ですが、やや重いツールであり、多くの依存関係をインストールすることを前提としており、環境に合わせて調整が必要になる場合があります。また、非常に多くのツールを統合しているため、誤検知が発生する可能性があります（あるレビュアーが指摘したように、サポートやトラブルシューティングは困難な場合があります）。それでも、あらゆることを少しずつこなす、ほとんど手動介入不要なオープンソースのASMを求めるなら、reconFTWは注目すべきコミュニティ主導の選択肢です。
• reNgine – “reconのためのGUI” – reNgineは、多くの小規模チームが軽量なASMプラットフォームとして使用するウェブベースのフロントエンドです‍。アセットディスカバリ（サブドメインファインダー、ポートスキャナーを使用）と一部の脆弱性スキャンを組み合わせ、使いやすいGUIにまとめています。素晴らしい点は、継続的な監視機能を備えていることです。定期的にスキャンを再実行するように設定でき、差分や新しい発見を表示します。異なるターゲットを管理するためのワークスペースの概念もあり、新しいアセットや脆弱性が見つかった際には通知（Slack/Discord）を送信できます。オープンソースプロジェクトであるため、商用ツールのような洗練さはないかもしれませんが（UIは基本的で、セットアップは簡単ではない場合があります）、利用可能なユーザーフレンドリーなオープンな代替手段の1つです。CLIツールに抵抗があり、無料で試せる「プラットフォーム」を探しているなら、reNgineは一見の価値があります。
• Nuclei – “コードとしての脆弱性スキャン” – ProjectDiscoveryによるNucleiは、コミュニティ提供のテンプレートを使用した脆弱性スキャンに特化したオープンソースツールです。それ自体は資産発見ツールではありませんが、ASMのために上記のツールと組み合わせてよく使用されます。URLまたはIPのリストがあれば、Nucleiを実行して、YAMLテンプレートを通じて何百もの既知の問題（CVE、設定ミスなど）を迅速にテストできます。高速で拡張可能であり、新しい脆弱性に対する新しいテンプレートがコミュニティから毎日提供されます。オープンソースのASMパイプラインでは、Amassのようなツールで資産を発見し、その後Nucleiで問題をスキャンします。結果を解釈するにはある程度の知識が必要ですが（派手なUIはありません）、正当な理由でセキュリティコミュニティに愛されています。

(注: オープンソースのアプローチは、多くの場合、複数のツールを組み合わせることを意味します。例えば、一般的なスタックは、Amass/Subfinder + Nmap + Nuclei + reNgineやFaraday Communityのようなダッシュボードです。利点はコストと柔軟性ですが、欠点はご自身でメンテナンスする必要があることです。情熱とスキルがあれば、これらのツールは非常に役立ちます。多くのセキュリティ研究者がこれらを大いに活用しています。)

統合された脆弱性スキャン機能を備えた最適なアタックサーフェスツール

一部のASMツールは主に検出に焦点を当てており、脆弱性スキャンは別の製品に任せています。しかし、ある種のソリューションは、両方を行うことを目指しています。つまり、資産を検出し、かつ既知の脆弱性や設定ミスがないか即座にスキャンします。これらの統合されたアプローチは、資産リストをエクスポートしてスキャナーにインポートする必要がないため、大幅な時間短縮につながります。1つのプラットフォームで「検出 -> 評価 -> アラート」を完結できるワンストップショップをお探しなら、以下のツールをご検討ください。

• Aikido –「フルスタック、発見と修正」– Aikidoのプラットフォームはコードからクラウドまでをカバーします。つまり、新たなクラウドホストやウェブエンドポイントといった資産を発見すると、オールインワンの機能として自動的に脆弱性スキャンを実行します。例えば、新しいマイクロサービスを本番環境にデプロイすると、 Aikido は新規サブドメインを認識するだけでなく、そのサービス自体もスキャンします（例：開放ポートの確認、依存関係 チェックなど）。SAST、DAST、クラウドスキャンを統合しているため、包括的な脆弱性 が得られます。 G2のレビューアーは「Aikido 数分で結果Aikido 、必須のセキュリティスキャンを一つのパッケージに統合している」と述べています。この速度と広範性は統合的なアプローチを求める場合に最適です。本質的に、 Aikido は「新たな資産を発見しました」で終わらず、「…それに存在する脆弱性と修正方法まで提示します」。発見から修正までを一つのツールで実現したいチームにとって、 Aikido に勝る選択肢はほとんどありません。
• Intruder – “デフォルトで継続的な脆弱性スキャン” – Intruderは本質的に脆弱性スキャナーであるため、ASMに使用される場合、発見されたすべてのアセットは直ちに脆弱性評価の対象となります。Intruderの継続的な監視が新しいオープンポートや応答する新しいサブドメインを発見した場合、それは次のスキャンサイクルに含まれます。発見されたすべてのサービスについて、OWASP Top 10、CVE、設定の問題などをチェックします。その利点は、個別のスキャンツールが不要であることです。Intruderの設計全体が統合スキャンです。ユーザーはしばしば、“Intruderのスキャンは継続的な実行において驚くほど高速かつ徹底的である”と強調します（あるG2のレビュー担当者は、CIでのその速度に驚嘆しました）。アセットとその脆弱性の両方を常に監視することが目標であれば、Intruderはそれをクリーンで自動化された方法で提供します（SMBまたは中堅企業の場合に特に価値があります）。
• Tenable.asm – “アセットインベントリとNessusの知見の融合” – Tenable.asmは、アセット検出とTenableの脆弱性に関する知見を組み合わせるために明示的に構築されました。Tenable.asmが外部アセットを検出すると、そのアセットにはすでに最新の脆弱性データがあるか（Nessusフィード経由）、またはNessusでスキャンするよう促されます。そのキャッチフレーズは「アセットを知り、その脆弱性を知る」と言えるでしょう。この統合は、個々のアセットデータベースと脆弱性データベースを管理したくない組織にとって非常に有用です。Tenableは統合されたリスクビューを提供します。例えば、Tenable.asmは「host123.yourcompany.com」を検出し、2日前に検出。Ubuntu 18.04で稼働中。3つのクリティカルな脆弱性（Apacheの脆弱性CVE-2021-41773を含む）」といった情報をすべて1つのインターフェースで表示するかもしれません。その実用的な情報（アセットのすぐ隣にCVEが記載されている）こそが、統合の力です。検出された任意のアセットにワンクリックで「今すぐスキャン」ボタンがあることに魅力を感じるなら、Tenable.asmはまさにそれを提供します。
• CyCognito – “発見し、悪用する（悪意のある攻撃者よりも先に）”：CyCognitoは、アセットを発見するだけでなく、それらに対してシミュレートされた攻撃を実行し、脆弱性を発見します。これは、攻撃者が行うであろうこと、つまりアセットのオープンポートや弱点をスキャンし、エクスプロイト技術を安全に試すことを本質的に行います。その結果、単にインベントリを作成するだけでなく、「アセットXは重要であり、Yを介して実際に悪用可能である」と通知するプラットフォームとなります。CyCognitoの脅威分析の統合により、理論的なCVEだけでなく、現実世界のリスクを把握できます。例えば、アセット上の公開されたログインポータルを強調表示し、ユーザーを列挙できたことやデフォルトパスワードを検出したことを指摘する場合があります。これは、基本的なスキャナーでは見逃される可能性があります。このような統合された脆弱性評価（特にハッカーデータベースとMLを活用）により、アセットが発見された際に、より攻撃者視点のアプローチをすぐに得たい場合に、CyCognitoは強力な選択肢となります。

(特筆すべき点： Qualys Global IT Asset Discovery & Response – 別の脆弱性スキャン大手であるQualysは、グローバルな資産発見と脆弱性管理を組み合わせた製品を提供しています。これはTenableのアプローチと精神的に似ており、資産上の脆弱性の発見から修正までを単一のワークフローで完結させたいユーザーに対応しています。Qualysは大規模な組織に適していますが、小規模な範囲で注目すべき無料のコミュニティエディションも提供しています。）

クラウド資産発見機能を備えたベストアタックサーフェスツール

現代の攻撃対象領域は、動的なIP、短命なコンテナ、サーバーレスのエンドポイントなど、クラウドベースのものが大半を占めています。一部のASMツールは、クラウド資産の検出に特化した機能を持っており、クラウドプロバイダーのAPIに接続したり、巧妙な手法を用いて、純粋な外部スキャンでは見逃されがちな資産を発見できます。クラウド（AWS、Azure、GCPなど）を全面的に活用している場合、クラウドに精通したツールが必要となるでしょう。そのようなツールは、リストにないS3バケット、放置されたクラウドアカウント、パブリックDNS経由で解決できない資産などを発見できるはずです。ここでは、クラウド資産の検出に優れた主要ツールをご紹介します。

• Aikido –「コードからクラウドまで、完全カバー」– Aikidoのプラットフォームはクラウド環境と深く統合されています。外部からのスキャンだけでなく、実際にクラウドアカウント（読み取り専用アクセス）に接続してリソースを列挙します。これにより、パブリックIP経由では明らかにならないクラウド専用サービス（AWS LambdaやAzureストレージアカウントなど）など、外部スキャンでは検出できない資産を発見します。 Aikido はそれらの資産を外部への足跡と関連付けます。例えば、公開されたAPI によってトリガーされる可能性のあるLambdaを特定し、 Aikido が同様に特定・保護します。CSPM クラウドセキュリティポスチャ管理）機能は、資産発見と併せて設定ミスを可視化します。クラウドにデプロイする開発者にとって、 Aikido は「新規クラウドデータベースが公開アクセス可能」といった問題をほぼリアルタイムで検知します。クラウドネイティブ企業はこの機能を高く評価しており、従来のASMとクラウドセキュリティのギャップを埋める存在となっています。
• Palo Alto Cortex Xpanse – 「クラウドIPをユーザーよりもよく把握」 – Xpanseは、クラウドプロバイダーのアドレス空間とアセットデータのマッピングに多くの取り組みを行ってきました。既知のIPレンジとサービスシグネチャにより、IPがAWSやAzureに属していること、さらにはどのサービスであるかを特定できることがよくあります。マルチクラウドを利用している企業にとって、Xpanseは直接的なAPI連携を必要とせずに、すべてのクラウドでアセットを発見できます。そのインターネットスキャンは、「このオープンデータベースはus-west-2にあるAWS RDSインスタンスである」といったラベル付けを行うほどスマートです。さらに、Palo Altoは、XpanseがPrisma Cloud（利用している場合）からデータを取得して可視性を向上させる連携機能も提供しています。結論として、Xpanseは、公開されているクラウドアセット、たとえ一時的なものであっても、それらを捕捉するのに優れており、必要なコンテキスト（クラウドプロバイダー、リージョンなど）を提供することで、内部の所有者を迅速に特定できます。
• Microsoft Defender EASM – “ハイブリッドクラウド対応” – Microsoftの豊富な実績を考慮すると、Defender EASMは当然ながらAzure Active Directoryと連携し、その接続を活用してクラウド資産を発見できます。Azureテナント情報を使用して、すべてのサブスクリプションとリソースを検出し、Azure内の何も見落とさないようにします。しかし、Azureに限定されず、DNS名（多くのAWSサービスにはEASMが認識する特徴的なDNSパターンがあります）などを分析することで、AWSやGCPの資産も探します。例えば、Microsoftのソリューションは、ドメインに関連付けられたAzure App Service URLやAWS S3バケットURLを強調表示します。これらは単純なポートスキャナーでは見逃されがちですが、EASMのデータソースはこれらを捕捉します。Azureを主力としつつもマルチクラウドを試している場合、Defender EASMはそれらのクラウドにわたる外部資産の統合ビューを提供し、検出結果をAzure Security Centerに簡単に統合して修復できるという利点もあります。
• CyCognito – “シャドウクラウドITを明らかに” – CyCognitoの得意分野はシャドウITの発見であり、これには不正なクラウド資産も含まれます。ログインページ、SSL証明書、クラウド資産の命名規則などを追跡する巧妙な手法を用いて、“yourcompany-dev-eastus.azurewebsites.net”のようなものや、IT資産台帳にないクラウドVM上の公開されたJenkinsなどを発見します。発見後、CyCognitoは詳細な評価を行います。クラウド資産は頻繁に起動・停止するため、CyCognitoの継続的なアプローチは、たとえ1日しかオンラインでなかったものでも、それを捕捉し、アラートを発する可能性があります（特にそれがリスクの高いものであった場合）。公式パイプライン外でチームがクラウドインスタンスを立ち上げることを懸念している組織にとって、CyCognitoはセーフティネットとして機能します。それらのリソースが外部から到達可能になった時点で検知します。

(特筆すべきツール: JupiterOne は、厳密にはASMではありませんが、数十のクラウド/SaaSソースからデータを取り込み、攻撃対象領域の内部ビューを提供するクラウドネイティブな資産プラットフォームです。JupiterOneはIT資産管理の側面が強いですが、外部ASMと組み合わせることで非常に詳細な全体像を把握できます。また、Censys ASM （検索エンジンCensysが提供）は、クラウドに特化しており、クラウドのホスト名や証明書を積極的にマッピングします。クラウドファーストの組織にとっては検討する価値があります。）

まとめ

2025年には、アタックサーフェスの管理は単なる「あれば良いもの」ではなく、ミッションクリティカルな要素となります。サイバー脅威がパッチ未適用および未知のアセットを強く標的としている現状（未知のアセットからのインシデントが74%という統計を思い出してください）において、あらゆる規模の組織は、その外部プレゼンスの隅々まで光を当てる必要があります。幸いなことに、今日のアタックサーフェスモニタリングツールは、これを実現可能にし、さらに自動化しています。個人開発者としてサイドプロジェクトを保護する場合でも、スタートアップのCTOとしてSaaSを保護する場合でも、エンタープライズのCISOとしてグローバルネットワークを防御する場合でも、ニーズと予算に合ったASMソリューションが存在します。

私たちが取り上げたツールに共通するテーマは、統合と自動化です。nmapスキャンを手動で実行したり、IPアドレスのスプレッドシートを管理したりする時代は終わりました。主要なプラットフォームは、開発パイプライン、クラウドアカウント、既存のセキュリティワークフローと連携し、常に変化する環境を継続的に監視します。また、重要なことを優先するため、存在しない問題に時間を費やすことがありません。@devopsdanがXで有名に皮肉を言ったように、「正直なところ、UIはほとんどのセキュリティツールよりも10倍優れている」 — 多くの最新のASMツールは、ユーザーエクスペリエンスを念頭に置いて設計されており、実際に快適に使用できます（Aikido、あなたのことです）。

最後に、アタックサーフェスモニタリングは目的地ではなく旅であることを忘れないでください。企業のフットプリントは、新しいテクノロジー、新しいビジネス、そして新たな脅威とともに進化していきます。適切なツールは、重労働を自動化し、戦略的な防御に集中できるようにすることで、企業とともに成長します。ですから、オープンソースのハッカーツールキットであろうと、洗練されたエンタープライズプラットフォームであろうと、企業の雰囲気に合ったソリューションを選び、暗い部分を照らし始めましょう。それによって、セキュリティ（と睡眠）は格段に向上するでしょう。