強固なセキュリティ対策は現代における組織の経営課題の1つです。日々高度化するサイバー攻撃に備えるべく、さまざまなセキュリティ対策ソリューションを活用していることでしょう。FWやUTMなどのネットワーク対策による水際での防御ソリューションの活用だけに留まらず、侵入されることを前提としたEDRやNDRのような検知対応ソリューションも活用することで、社内ネットワークに侵入を許してしまった脅威を迅速に検出し、対応、封じ込めを行うような運用に取り組む組織も増えています。
こうしたセキュリティ対策の強化や見直しが進められている一方で注目を集めているのが、そもそも攻撃者から攻撃を受けるリスクを下げるという予防観点からの対策です。従来から資産管理ソリューションや脆弱性診断サービスのようなソリューションは広く活用されていますが、近年導入が進められている新たな対策として”アタックサーフェス管理ソリューション(以降「ASMソリューション)と記載)”があります。
本ブログでは、この”ASMソリューション”がどのようなもので、なぜ必要とされているのかについて紹介していきます。
アタックサーフェスとは
サイバーセキュリティの世界においてアタックサーフェスとは、組織の資産のうちサイバー攻撃を受ける可能性のある領域や資産、それらを形作るあらゆる構成要素のことを指します。攻撃対象領域や、攻撃対象面とも呼ばれます。
イメージしやすい例として、攻撃者からの不正アクセス被害が報告されるようなシステムはアタックサーフェスと言えます。つまり公開サーバはアタックサーフェスの1つです。企業のWebサイトを提供するWebサーバをはじめ、メールサーバ、FTPサーバ、DNSサーバ、他にも社内ネットワークとの境界となっているGWやVPN機器、Web会議システムやクラウドメール、クラウドデータセンターなどで活用されるクラウドサービスなどもアタックサーフェスの1つです。
これだけではありません。攻撃を受ける可能性のあるもの全てがアタックサーフェスと呼ばれるため、間接的に被害を受けうる社内ネットワーク内の資産もアタックサーフェスに含まれます。例えば重要情報を保持するデータベースや社内システム、業務で利用されるような端末もその1つと言えます。
そして、それらの構成要素としてハードウェアやソフトウェア、アプリケーションはもちろん、付与されているIPアドレスやドメイン、施されている設定、利用されているSSL証明書、付随する脆弱性、アカウント、メールアドレスなど攻撃に利用される、もしくは標的となる可能性のあるあらゆる要素がアタックサーフェスです。
アタックサーフェス管理(ASM)ソリューションとは
ここまでの説明をふまえると、ASMソリューションがアタックサーフェスを管理するためのソリューションであることは容易に想像できるでしょう。しかし、実際に利用されているASMソリューションは、全てのアタックサーフェスを管理対象とはしていません。
ASMソリューションの最新の市場定義や関連ドキュメントを調べていくと、ASMとEASMが併記、もしくはEASM表記されているドキュメントをいくつも見つけることができるでしょう。
EASMとは「External Attack Surface Management」の略称であり、さらに省略した表記としてASM表記が使われています。つまり、ASMソリューションとは、全てのアタックサーフェスを管理対象とするのではなく、外部に公開しているアタックサーフェスを対象とした可視化や管理を行うためのソリューションです。
ASMソリューションの特徴は、管理対象の公開アタックサーフェスを自動で検索、発見することにあります。
組織の管理者は、資産管理ツールや特にクラウドサービスに対してはCASBやCSPM、CNAPPによる管理を行なっています。その一方で、無許可で利用されているクラウドサービスや、独自に公開されてしまったWebサーバやVPN機器などの管理外のIT資産、つまりシャドーITが少なからず存在しており、それらを発見して管理、制御することは容易ではありません。
ASMソリューションでは管理対象を手動で登録するのではなく、インターネット上に公開されている情報を自動で探索、情報収集することで公開アタックサーフェスを発見します。つまり、シャドーITを含むあらゆる公開アタックサーフェスの自動発見と管理を実現することができます。
このように、組織の公開アタックサーフェスの定常的な監視を実現するプラットフォームがASMソリューションです。管理者の管理範囲外となっている公開アタックサーフェスや、脆弱性、脆弱な設定を検出し、迅速な対応を実現します。
なぜアタックサーフェスの管理が必要なのか
このような公開アタックサーフェスを管理するソリューションが、最近になって注目を集めているのはなぜでしょうか。
大きな要因として2つのポイントが考えられます。それは「管理対象となるIT資産の急速な増加」と、「攻撃者による攻撃の高度化」です。この2つのポイントについて順に説明していきましょう。
まずは「管理対象となるIT資産急速な増加」、というポイントです。働き方の変化によるリモート端末の増加や、DX推進に伴うクラウドサービスの利用拡大、これらに加えて高度なITツールが増えたことで組織の管理者が管理すべきIT資産の数は爆発的な増加を続けています。マンディアントの最新の調査では、組織が管理すべき平均のIT資産の数が4万アセット以上あるとのデータも出ています。
(出典:Mandiant社Webサイト オンデマンド配信「攻撃者の目から己を知る~アタック・サーフェス・マネージメントが必要とされる背景とMandiantの提供する価値~」(2022年12月15日参照))
数万アセット規模のIT資産に対して、シャドーITが発生しないように確実に管理していくためにはシステムによる自動化が不可欠です。公開アタックサーフェスをシステム的に漏れなく管理するソリューションとしてASMソリューションが注目を集めているのです。
そして2つ目のポイントが「攻撃者による攻撃の高度化」です。
ここ数年で多くの組織が在宅勤務を行うようになりました。これに伴い、攻撃者もこのテレワークの仕組みを悪用した攻撃を数多く行うようになっています。2022年3月のセキュリティインシデントで、自動車部品メーカでVPN機器の脆弱性をきっかけとしたランサムウェア被害も記憶に新しいのではないでしょうか。マンディアントの脅威インテリジェンスによると、2019年1月から2021年6月までの期間でVPN機器に対する20の脆弱性が悪用されていることが報告されています。その多くは2020年の在宅勤務者が増加以降で報告されたものであり、3つがゼロデイの脆弱性でした。
※Mandiant社 調べ(2019年1月~2021年6月)
攻撃者は、ありとあらゆる手段を持ってターゲットの情報の奪取を試みています。しかしながら、社内ネットワーク内に保持された情報に対して直接アクセスを行うことはできません。必ずいくつかのシステムを経由して最終的なターゲットを持つシステムへの接続を行うわけです。この時に最初にターゲットとされるのが、インターネット上に公開されている社内ネットワークとの接続が可能な資産、つまり公開アタックサーフェスです。これを攻略されることで、重大なセキュリティインシデントにつながる可能性が高くなるのです。
こうした状況をふまえると、攻撃者と同じ目線で公開アタックサーフェスを正しく把握することが必要不可欠になっていることがわかります。そして、ただ把握するだけではなく、それらが内包する未対応の重大な脆弱性をいち早く発見、対応していくような管理、運用を徹底することで、攻撃を受けるリスクを低減することができるのです。こうした運用プラットフォームとなりうるのがASMソリューションであり、今注目を集めている理由にもなっているのです。
まとめ
皆様の組織でも間違いなく様々な公開アタックサーフェスを持っていることでしょう。そして、それらの全貌が把握できていない、管理に課題をお持ちの方も多いのではないでしょうか。
2023年5月には、経済産業省からASMソリューションのような公開アタックサーフェスの管理ソリューションやサービスを活用したASMプロセスの導入利用に関する最新のガイダンスも公開され、こうした管理ソリューションの活用がますます必要不可欠なものとされるようになってきています。
※ASMプロセス実現に関する最新のガイダンスの詳細は、こちらのブログを参照ください。
公開アタックサーフェスの管理ができていない、全貌がわからないなど課題をお持ちのご担当者様は、攻撃を受けるリスクを低減するためにも、ASMソリューションを活用して自社の状況を正しく把握し、運用していく仕組みづくりを始めてみてはいかがでしょうか。
弊社では、Mandiant Attack Surface Managementや、インテリジェンスを提供するSecurityScorecard Attack Surface Intelligenceを取り扱っております。アタックサーフェスの管理にご興味がある方はぜひ弊社までお問い合わせください。
この記事に関するサービスのご紹介
SecurityScorecard Attack Surface Intelligence
SecurityScorecard Attack Surface Intelligenceは、インターネット上に公開されているアタックサーフェスの管理に活用可能な豊富なインテリジェンスを提供します。
詳細はこちら