愛知県豊川市に本社を構え、機械加工用工具の製造・販売を主な事業とする総合工具メーカーのオーエスジー。同社では、海外グループ会社のVPNの脆弱性が原因で本社の基幹システムがランサムウェアに感染する重大なインシデントを経験した。この教訓から外部公開のIT資産についてグループ会社へのヒアリング活動を実施したものの、拠点側に専任の担当者が少なくリテラシーの差もあったことから、正確な把握には大きな手間と時間がかかっていた。さらに、そうしたアナログな情報収集では膨大な手間がかかることに加え、網羅性、精度、情報鮮度などの各種課題があることを実感。これらの限界を打破すべく同社が採用したのが、Macnica ASM(Macnica Attack Surface Management)である。本資料では、同社がシステム的に未把握の資産とリスクを発見し、優先順位を付けながら限られたリソースで重要対象に対処できるようになったプロセスを詳述する。