アタックサーフェス管理とは

アタックサーフェス管理(ASM)は、潜在的な攻撃ベクトルとリスクに対処するために、内外のインターネット接続資産すべての継続的な特定、モニタリング、管理を行うプロセスです。

ASMの最終的な目標は、可視性を高めてリスクを減らすことです。脆弱性の特定と緩和に予防的なアプローチを採用することで、組織はサイバー攻撃のリスクを大幅に減らし、全体的なセキュリティ体制を改善できます。

アタックサーフェスとは

アタックサーフェスとは、攻撃者が企業のシステムとデータへのアクセスを試みる可能性があるすべてのポイントを総称したものです。これには以下が含まれます。

• アプリケーション: Webアプリケーション、モバイル アプリ、APIなど、社外からアクセスできるソフトウェア アプリケーション。
• Webサイト: 公開、社内、eコマース用のWebサイトなど、企業によってホストされるすべてのWebサイト。
• ネットワーク: インターネット、プライベート ネットワーク、クラウド ネットワークなど、デバイスとシステムを接続するために企業が使用するネットワーク。
• デバイス: ラップトップ、スマートフォン、サーバ、IoTデバイスなど、企業のネットワークに接続されているデバイス。
• クラウド インフラストラクチャ: パブリック クラウド、プライベート クラウド、ハイブリッド クラウドなど、企業が使用しているクラウド インフラストラクチャ。

クラウドの導入、接続されたデバイス数の増加などの要因により、組織のアタックサーフェスは常に拡大しています。このため、組織がすべての脆弱性を把握して軽減策を講じることがますます難しくなっています。

ASMが重要な理由

存在を知らないものを保護することはできません。アタックサーフェス管理を行えば、アタックサーフェスのリスクを可視化して軽減できます。クラウドへの移行を目指す組織には動的な性質があるため、内部と外部の両方のアタックサーフェス管理が必要です。

組織のシステムとネットワークに存在する侵入口と脆弱性の数を最小化することで、サイバー攻撃とデータ侵害のリスクを減らすことができます。この数の最小化により、インターネットに公開された資産および関連したリスクの包括的なインベントリが継続的に更新されます。

このような完全な記録システムを構築するには、新しいアプローチが必要です。これは、ネットワーク境界が過去のものになり、組織のアタックサーフェスに対する従来の見方が当てはまらなくなっているからです。現代的なアタックサーフェスは、クラウド、オンプレミス、または複数の場所に共同配置されたインターネット公開資産で構成されます。

マルチクラウド、プライベート クラウド、パブリック クラウドにまたがる環境、合併や買収(M&A)による資産の引き継ぎ、サプライ チェーン パートナーやリモート ワーカーからのアクセスといった要因から、IT担当者が手作業ですべての資産とその責任者を把握することは不可能です。

従来、資産インベントリはレッド チーム演習や侵入テストを含む、時間のかかる低頻度の手動プロセスによって作成されていました。しかし、現代のインフラストラクチャは、特にクラウド内ではたちまち変化します。従業員がクレジット カードを使うだけで、セキュリティ プロセスの外部で新しいクラウド インスタンスが作成されます。アタックサーフェスが拡大する原因としては、これが最も一般的です。

さらに、資産インベントリ内のデータの品質が、あらゆるセキュリティ プロセスの有効性に直接影響を及ぼします。既知の資産のみを検査する脆弱性スキャナーでは、把握できていない資産が保護できません。把握できていない資産は直接の脅威になり、セキュリティ チームを混乱に陥れます。

MIT Technology Review Insightsの調査によると、組織の50%が把握していない資産や管理対象外資産へのサイバー攻撃を経験しており、19%が差し迫ったインシデントの発生を想定していました。

インターネットのスピードと規模

攻撃者は攻撃しやすい標的を一心に探しているため、把握できていない資産を見つけて標的にします。攻撃者は独自のデジタル変革を果たし、1時間もあればインターネット全体をスキャンして脆弱なシステムを探索できます。つまり、防御側のアタックサーフェス上にある全資産の平均インベントリ時間(MTTI)を、攻撃者が資産を見つけ出す時間よりも短くする必要があります。

Cortex Xpanseによると、脅威アクターはスキャンを実行してインターネットで公開されている脆弱な内部資産のインベントリを作成します。その頻度は、1時間に1回以上で、しかもCVEの公開から15分以内にはスキャンが始まります。一方、グローバル企業が脆弱なシステムを発見するには、平均で12時間が必要です。しかもこれは、企業がネットワーク上の資産をすべて把握していると仮定した場合です。

アタックサーフェス管理のためには、あらゆる側面を考慮して、組織のネットワークに接続されているすべての資産の包括的なインベントリを作成し、継続的に更新する必要があります。このインベントリには、IPアドレス、ドメイン、証明書、クラウド インフラストラクチャ、物理システムが含まれます。また、このインベントリは、各資産を担当する組織の部署を詳しく示します。

ASMは、絶え間なく成長するIoTのスピードと規模で動作しながら、オンプレミスやクラウドを問わず、子会社や重要サプライヤが運用するものも含め、あらゆる公開資産を対象としてリスクの検出、識別、軽減を行い続ける必要があるのです。

また、外部からのスキャンも行う必要があり、ほかのセキュリティ製品からのインベントリやログは未完了の可能性があるため、これらに依存してはなりません。外部スキャンを行うことで初めて既知の資産と把握できていない資産がすべて確認され、セキュリティ プロセスにデータを反映させることができるのです。

Gartnerのセキュリティ運用のハイプ サイクル2021年版では、外部からのアタックサーフェス管理の視点でリスクを検討することにより、「組織にとって何が重要なのかを判断するための情報がさらに拡充される。つまり、脅威環境を大ざっぱに眺めて、組織が影響を受けているのかどうかわからずに終わることがなくなる」と述べています。

アタックサーフェスの種類

アタックサーフェス管理の範囲にはいくつかの専門的なカテゴリが含まれ、各カテゴリは、資産の具体的な種類と、その資産に対応するアタックサーフェスを中心としています。組織の資産の強固なセキュリティを確保するには、多種類のアタックサーフェスを総合的に理解することが欠かせません。

以下の種類があります。

アタックサーフェス管理の種類、カテゴリ、役割について詳しくは、「アタックサーフェス管理の種類と役割」を参照してください。

既知の資産

既知の資産は、組織のセキュリティ チームが認識していて、組織のネットワークへの接続を許可したデバイス、システム、アプリケーションです。これらの資産は組織のインベントリに含まれ、定期的なセキュリティ評価とモニタリングの対象です。

把握できていない資産

把握できていないデジタル資産は、上記とは逆に、組織とセキュリティ チームがネットワーク内で認識しておらず、許可していないデバイス、システム、アプリケーションです。これらには、シャドーIT、許可されていないデバイス、ランサムウェア、管理対象外アプリケーションなどが含まれます。把握できていない資産は、サイバーセキュリティ上の潜在的な弱点になる可能性があるため、組織のセキュリティに大きなリスクをもたらします。

野良資産

把握できていないデジタル資産と同様に、野良デジタル資産は許可なくネットワークに接続されています。ただし、野良資産とは、許可されていない、またはセキュリティ リスクを引き起こす既知の資産のことを指します。

これに対して、把握できていない資産は、ネットワークやシステム内で未確認または未発見の資産であり、この資産は許可されていても忘れられている場合があります。これらは一般に、組織のネットワークやデータに不正にアクセスするために使用されます。野良資産は組織のインベントリやセキュリティ制御に含まれないため、検出して管理することが難しい場合があります。

ベンダー

ベンダーは、組織のネットワークやデータに脆弱性や弱点が生じる原因になることがあるため、組織のセキュリティに大きなリスクをもたらす可能性があります。サイバー攻撃のリスクを最小限に抑えるために、組織はベンダーとの関係の管理とモニタリングを慎重に行う必要があります。

管理作業としては、定期的なセキュリティ評価、セキュリティに関する契約要件管理、継続的なモニタリングとリスク管理などを行います。アタックサーフェス管理の場合、ベンダーはソフトウェア ベンダー、クラウド サービス プロバイダ、その他のサードパーティのサービス プロバイダを含みます。

ASMのコア機能

アタックサーフェス管理ソリューションは、脆弱性からの防御のために5つのコア機能を活用する必要があります。これらのコア機能を実行することにより、組織はアタックサーフェスを包括的に把握し、脆弱性と弱点を特定し、取り組みに優先順位を付け、サイバー攻撃とデータ侵害のリスクを軽減できます。

検出

検出の際には、組織とセキュリティ チームはスキャンを実行し、ログを確認し、その他のツールを使用して既知の資産と把握できていない資産の両方を検出します。目標は、組織のネットワーク内にあるすべての資産、システム、アプリケーション、侵入口を特定することです。

マッピング

すべての資産を特定した後、次のステップでは、資産が個々の事業部門と子会社に自動的にマッピングされ、既存のSOCツールと統合されるようにします。これにより、インシデントを解決するための所有者の特定とエンリッチメントが迅速に行われます。

コンテキスト

コンテキスト化により、リスクと影響が最も大きい領域に組織のリソースを優先的に集中させることができます。アタックサーフェス管理を効果的に行うには、検出された資産と脆弱性にコンテキストが必要です。このためには、組織の特定のリスク プロファイル、コンプライアンス要件、ビジネス目標のコンテキストに応じて、資産と脆弱性を分析する必要があります。

優先順位付け

脆弱性と資産に重要度の順で優先順位を付ける必要があります。この重要度は、リスクと生じうる影響に基づいており、たとえばエクスプロイトの可能性、攻撃から生じうる影響、修復の難しさなどの要因が考慮されます。これにより、組織とセキュリティ チームが、最も重要な脆弱性に先に対処するためにリソースを集中させることができます。

修復

組織のネットワーク、システム、またはアプリケーションにある脆弱性や弱点が特定された後は、これらを修正する必要があります。修復の目標は、これらの脆弱性を悪用する可能性があるサイバー攻撃やデータ侵害のリスクを軽減または除去することです。

脆弱性の性質と重大度に応じて、数種類の方法で修復を行うことができます。たとえば、ソフトウェアのパッチ適用や更新、ファイアウォールなどのセキュリティ制御の設定、特定の資産へのアクセスの制限、または古くなったシステムやアプリケーションの廃止が、修復の方法として考えられます。脆弱性が再発したり、再び持ち込まれたりしないよう、修復は継続的に行う必要があります。

セキュリティ チームがサイバー リスクを予防的に検出し、軽減するために役立つ動的なフレームワークが、ASMライフサイクルのアプローチによってどのように提供されるかについては次の記事よりご確認いただけます。ASMライフサイクルとは

アタックサーフェスと脅威サーフェスの違い

同じ意味で使用されることもよくありますが、「アタックサーフェス」と「脅威サーフェス」は別個の概念であり、微妙だが重要な違いがあります。組織の資産を効果的に保護するためには、これらの違いを理解することが不可欠です。

アタックサーフェスは、すべての潜在的な脆弱性を含む幅広い概念で、全体的なリスクの軽減を目的としています。脅威サーフェスはより具体的であり、既知の脅威の標的になる脆弱性と、個々の脅威に基づく脆弱性の優先順位付けに重点を置いています。また、アタックサーフェスは比較的静的であり、時間の経過とともに少しずつ変化しますが、脅威サーフェスは動的で、新しい脅威の出現や攻撃者の戦術の変化に応じて発展します。

アタックサーフェス全体にわたる脆弱性を特定して対処すると同時に、最大のリスクをもたらす特定の脅威にも焦点を当てることにより、組織はセキュリティ体制を大幅に改善でき、重要な資産を保護できます。

アタックサーフェスと脅威サーフェスの違いを確認し、セキュリティ戦略を強化する方法については次の記事よりご確認いただけます。アタックサーフェスと脅威サーフェスの違い

主な脅威アクター

ASMのコンテキストでの脅威アクターは、データ、アプリケーション、デバイス、ネットワーク インフラ、チームなど、ITリソースのセキュリティにリスクをもたらす個人、グループ、または団体を指します。このコンテキストでの主な脅威アクターの例を以下に挙げます。

ハッカーとサイバー犯罪者

ブラック ハット ハッカーは、個人的な利益を得るため、または被害を引き起こすためにソフトウェアとIT運用の脆弱性を悪用する、悪意を持った個人やグループです。サイバー犯罪者は、個人情報窃取、金融詐欺、金銭的利益を目的としたマルウェアの配布などの活動に関与する個人やグループ(近年増加中)です。

国家が関与するアクター

政府または国家の後援を受けている者が、政治、経済、または軍事面での目的を達成するために、サイバー諜報活動、サイバー戦争などの悪意のある活動に関与することがあります。米国に本部を置くサイバーセキュリティ・社会基盤安全保障庁は、中国、ロシア、北朝鮮、イランの政府で活動する、または政府と共謀して活動するグループに関する脅威概要および勧告レポートを定期的に発行しています。

内部関係者

組織のシステムに関する内部知識を持つ従業員、請負業者、ビジネス パートナーが、個人的な利益、復讐などの理由でアクセス権限を悪用する可能性があります。

ハクティビスト

自らの信条の宣伝、または特定の活動や組織に対する抗議を目的としてシステムをハッキングする、社会、政治、またはイデオロギー上の理由から行動する個人またはグループ。

一般に悪用される攻撃ベクトル

攻撃ベクトルは、攻撃者が脆弱性を悪用して組織のシステムとデータにアクセスするために使用する経路や方法です。攻撃者が脆弱性を悪用して目標に到達するための手段です。攻撃ベクトルの例を以下に示します。

フィッシング

フィッシング攻撃は、銀行、政府機関、信頼されている個人など、正規の発信元を装って電子メールやテキスト メッセージを送信する行為です。これらのメッセージには一般に、悪意のあるリンクや添付ファイルが含まれており、これらをクリックするか開くと、マルウェアがインストールされたり、機密情報が盗まれたり、ユーザー アカウントが侵害されたりする可能性があります。

マルウェア

マルウェアは、コンピュータ システムに損害を与えたり動作を中断させたりすることを目的としたソフトウェアです。攻撃者は、不正アクセス、データの窃盗、またはシステムの侵害のためにマルウェアを頻繁に使用します。よくあるマルウェアの種類は、ウイルス、ワーム、ランサムウェア、スパイウェアなどです。

ソーシャル エンジニアリング

ソーシャル エンジニアリングは、人々を騙して、機密情報を明かしたり、セキュリティを低下させる行動を取ったりするように仕向けることです。攻撃者は、なりすまし、偽装、恐怖心の利用など、多くの手法を使って被害者を騙し、機密情報を漏洩させたり、攻撃者の利益になる行動を取らせたりします。

Webアプリケーションの脆弱性

Webアプリケーションは広範に使用されており、潜在的な脆弱性があるために、攻撃者の標的になることがよくあります。一般的なWebアプリケーションの脆弱性は、SQLインジェクション、クロスサイト スクリプティング(XSS)、安全でない認証メカニズムなどです。これらの脆弱性を悪用することで、攻撃者はデータを盗んだり、不正アクセスを行ったり、Webサイトの機能を中断させたりすることができます。

ネットワーク攻撃

ネットワーク攻撃は、組織のネットワーク インフラストラクチャを標的として、ネットワーク トラフィックの中断、システムへの不正アクセス、または機密データの窃盗を狙う行為です。一般的なネットワーク攻撃は、サービス拒否(DoS)攻撃、中間者(MitM)攻撃、ネットワーク スキャンなどです。

ゼロデイ エクスプロイト

ゼロデイ エクスプロイトは、ソフトウェア ベンダーや開発者には知られていない脆弱性を標的にします。これらの脆弱性は、修正に使用できるパッチや更新が存在しないため非常に危険です。攻撃者は、脆弱性が一般に公開される前にゼロデイ エクスプロイトを利用してシステムにアクセスし、機密情報を盗むことがよくあります。

クラウド設定ミス

クラウド設定ミスは、クラウド サービスやアプリケーションが安全に設定されておらず、攻撃に対して脆弱になっている場合に発生します。一般的な設定ミスは、安全でないストレージ バケット、開放されたポート、弱いアクセス制御などです。攻撃者はこれらの設定ミスを悪用して機密データにアクセスしたり、クラウド サービスを中断させたりすることができます。

サプライ チェーン攻撃

サプライ チェーン攻撃は、サードパーティ ベンダーやサプライヤを標的として、組織のシステムやデータにアクセスします。攻撃者はサプライヤのシステムやソフトウェアを侵害して、組織のネットワークにマルウェアやバックドアを仕込む可能性があります。

内部関係者による脅威

内部関係者による脅威は、組織のシステムやデータへの正規のアクセス権を持つ人物によって引き起こされるセキュリティ インシデントです。この人物が、悪意、怠慢、または不注意によって、意図のあるなしに関わらずセキュリティを低下させる可能性があります。

物理的攻撃

物理的攻撃は、組織の施設、機器、または人員の物理セキュリティを標的にします。たとえば、デバイスの窃盗、立入禁止区域への不正侵入、機器の物理的な損傷などが考えられます。

アタックサーフェスのリスクを軽減する方法

組織、特にCISOは、リスク軽減のために内部および外部のアタックサーフェス管理ソリューションを活用する必要があります。たとえば、以下のような対策を講じます。

• システムとネットワークへの侵入口の数を減らす。
• システムとアプリケーションの脆弱性を特定し、パッチを適用する。
• 強力な認証とアクセス制御を実装して、機密データとシステムへのアクセスを制限する。
• 不審な動作や疑わしい挙動が発生していないか、システムとネットワークを監視する。
• セキュリティ ポリシーと手順の定期レビューと更新を行い、最新の脅威とベストプラクティスに対応していることを確認する。

リスク評価、資産の制御、サイバーセキュリティに関するエキスパートの戦略が記載されている、ASMのための決定版CISOガイドをご覧ください。CISOがアタックサーフェスを効果的に管理する方法

アタックサーフェスの評価

セキュリティを維持するために、アタックサーフェス、脆弱性、セキュリティ プロトコルを継続的に評価することが不可欠です。アタックサーフェスの分析と脆弱性スキャンを定期的に実施することで、新しい脅威とエクスプロイトのポイントを明らかにすることができます。

アタックサーフェスのスコアリングとサードパーティのリスク評価チームが、セキュリティ体制を評価するために有益な指標を提供します。これらの方法により、脅威への露出に対する見識が得られ、セキュリティを強化するための推奨事項が示されます。

評価の指標とインジケータ

アタックサーフェスのスコアリングは、全体的なリスクの高さと、セキュリティ体制の正常性を測定するための優れた手段です。ほとんどのASMソリューションがリスク スコアリング用の優れたツール セットを提供していますが、脅威とセキュリティ体制の全体像を包括的に把握するためには、サードパーティのリスク評価チームと連携することが推奨されます。

専門家によるアタックサーフェス評価プロセスは、既存のネットワーク トポロジ、資産インベントリ、脆弱性スキャン、その他の関連情報のレビューと評価から始まります。この情報に基づいて、リスク評価チームが面談を実施して、目標と懸念事項をさらに詳しく把握し、アタックサーフェスの知識を得ます。

これらの調査結果は、関連する脆弱性と脅威に関する脅威インテリジェンスと最新の知識によって拡充できます。環境と具体的なセキュリティ上の懸念に合わせて、得られた所見と推奨事項に調整を加え、業界のトレンドに基づいて悪用の可能性が最も高いと考えられる影響の大きな問題に焦点を当てることができます。

このアプローチにより、限られたリソースに優先順位を付けて防御を確実に正しく機能させ、セキュリティ体制を強化するために講じる必要がある対策を理解できます。

アタックサーフェス評価がどのようにASMプログラムを推進し、改善できるかについては次の記事よりご確認いただけます。アタックサーフェス評価とは

デジタル変革がアタックサーフェスに及ぼす影響

この10年間に組織がデジタル変革とリモート ワークを取り入れたことに伴い、組織のアタックサーフェスに大きな変化が生じました。この結果、攻撃者が悪用できる潜在的な脆弱性ポイントの拡大と進化が起きています。以下のように、いくつかのITトレンドがこの脆弱性の拡大の要因になっています。

接続の増加

デジタル変革により、新しいテクノロジ、デバイス、システムの統合が必要になることがよくあります。この全体的な接続の増加により、新しい各接続ポイントが攻撃者に悪用される可能性がある脆弱性をもたらすため、アタックサーフェスが拡大することが考えられます。

クラウドの導入

サービスとデータをクラウドに移行することは、デジタル変革では一般的です。クラウド プロバイダは強固なセキュリティ対策を実装していますが、クラウド リソース、アクセス制御、オンプレミスとクラウド環境の間で行われるデータ転送の設定が正しく管理されなければ、新しい攻撃ベクトルが生じる可能性があります。

モノのインターネット(IoT)

IoTデバイスの導入は、デジタル変革の主な構成要素です。たとえばスマート センサーや産業用IoTなどのデバイスが、サイバー脅威の新しい侵入口になる可能性があります。IoTデバイスの設定が安全ではなかったり、保守が不十分であったりすると(特に、デフォルト パスワードを更新せずに導入されていると)、エクスプロイトの標的になることがあります。

モバイル ワーカー

リモート ワークとモバイル コンピューティングがデジタル変革によって推進されています。在宅勤務のポリシーによって柔軟性が得られる一方で、安全でないデバイスとパブリック ネットワークに企業ネットワークを露出させることで、アタックサーフェスの拡大も招いています。パッチが適用されていないセキュリティ上の不備がある旧式のホーム ルーターは、広く認知されている脆弱性です。さらに、モバイル デバイスは、十分に保護されていなければ攻撃ベクトルになる可能性があります。

サードパーティ統合

組織のデジタル能力を強化するために、サードパーティのサービスやプラットフォームとの統合が行われることがよくあります。ただし、精査と保護を正しく行わなければ、統合のたびに潜在的なリスクが生じます。攻撃者は、組織のネットワークにアクセスするためにサードパーティ システムの脆弱性を狙う可能性があります。

サイバーセキュリティのスキル ギャップ

デジタル変革のためには、新しいサイバーセキュリティのスキル セットが必要になることがよくあります。組織によっては、環境の変革に伴って進化する脅威環境に対処できる、スキルのある要員を維持することが困難になっている場合があります。

最新の「ISC2サイバーセキュリティ人材調査」によると、調査対象になった専門家の9割超(92%)は組織にスキル ギャップがあると答えており、67%はセキュリティ問題の防止とトラブルシューティングに必要なサイバーセキュリティ スタッフの不足を報告しています。

アタックサーフェス管理の使用例

アタックサーフェス管理(ASM)は汎用ソリューションではなく、各種の業界と組織にわたる多様な事例に適用できる多機能のツールです。以下に、ASMを利用して具体的なセキュリティ課題に対処する方法の代表的な例をいくつか示します。

アタックサーフェス管理は、各種の業界と組織にわたる多様な事例に適用できる多機能のツールです。アタックサーフェス全体にわたる脆弱性を特定し、緩和することによって、ASMは組織がサイバー攻撃のリスクを軽減し、重要な資産を保護し、セキュリティ規制に準拠し、全体的なセキュリティ体制を強化するために役立ちます。

ASMの多くの使用例と、各種業界にわたる適用方法については次の記事よりご確認いただけます。アタックサーフェス管理の一般的な使用例

アタックサーフェス管理(ASM)についてのFAQ