【規格/ガイドライン解説】経済産業省 ASM導入ガイダンス

サプライチェーン攻撃による被害報告が増える中で、2023年5月に最新のセキュリティガイダンスの１つとして経済産業省から「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」が公開されました。

本ブログでは、この「ASM導入ガイダンス」について簡単に紹介しましょう。

「ASM導入ガイダンス」とは

「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～(以降”本ガイダンス”と記載)」は、サイバーキルチェーンの最初のフェーズである「初期偵察(Reconnaissance)」フェーズへのセキュリティ対策として、自組織へのASMプロセスの導入の必要性や、導入方法、注意事項、ユースケースなどをまとめたガイダンスです。

引用元：経済産業省ウェブサイト　（2023年9月27日参照）

“ASM”と聞くと、多くの方は自組織の公開アタックサーフェスの可視化や管理を行うASMソリューションを思い浮かべる方が多いのではないでしょうか。本ガイダンスは、ASMソリューションの導入手引きではなく、ASMプロセスの導入を進めるための手引きであることに注意が必要です。

ガイダンス作成の背景

本ガイダンスは、経済産業省 商務情報政策局 サイバーセキュリティ課により作成され、2023年5月29日に公表されました。

主に３つの観点から、ASMプロセスの重要性が評価され、ASMプロセスの導入のための具体的な手引きとして本ガイダンスが作成、公表されるようになりました。

1点目：サイバー攻撃被害の拡大

DX推進に伴いIT技術の役割はその重要性を増しています。一方で、サイバー攻撃被害も年々増加し、経済的な損失に加えて、サイバー攻撃の標的や攻撃手法によっては生活インフラへの影響も懸念されるようになっています。

2点目：サイバー攻撃の傾向の変化

従来の攻撃者の傾向として、標的となる組織を決定し、攻撃が成功するまでしつこく何度も攻撃を行う標的型攻撃が主流でした。しかしこの攻撃手法は、攻撃者からするとあまり効率の良いものではありませんでした。
攻撃者の世界でも費用対効果は重要視されるようになり、最近は広く情報収集を行い、簡単に攻撃が成功する組織を踏み台にしたサプライチェーン攻撃が行われる傾向が強くなっています。つまり、攻撃者は公開アタックサーフェスの情報を広く収集し、未対応の脆弱性や設定ミスを悪用した攻撃を行うようになっているのが現状です。

3点目：シャドーITへの対策

IT技術の発達により社内で活用されるIT機器の数やネットワークの規模は膨れあがり、ネットワーク構成図やシステム台帳などによる手動での社内資産の管理が現実的ではなくなっています。申告漏れや誤認、設定ミスなどにより、管理情報と実態が乖離し、シャドーITが増えています。
このシャドーITに深刻な脆弱性や設定ミスが含まれているケースで、重大なサイバー攻撃へと発展するケースが増えています。

「ASM導入ガイダンス」の要点

本ガイダンスは、主に自組織へのASMプロセスの導入に関する詳細な手引きがまとめられています。ここからは、その中でも特に重要なポイントについてまとめていきましょう。

ASMプロセスとは

ASMプロセスとは、公開アタックサーフェスに対するリスク管理を行うためのプロセスであり、以下の３つのプロセスで構成されます。

引用：経済産業省ウェブサイト（2023年9月23日参照）

①組織が外部公開するIPアドレスおよびホスト名(ドメイン)を自動で発見・一覧管理し、②それらに対する追加情報(アタックサーフェス情報)を収集、③脅威インテリジェンスと組み合わせることでリスク評価を行います。

ASMプロセスを導入・運用することで、公開アタックサーフェスの適切な管理と、セキュリティリスクとなりうる問題を発見・抽出し、迅速なリスク対応に繋げることが可能です。

なお図2-1内に「脆弱性管理と同様の対応」との記載がありますが、本ガイダンス内にはASMプロセスと脆弱性診断との違いについても明記されています。しかし、基本的に併用を推奨するものであり、ASMプロセスを導入することで、既存の脆弱性診断の代わりになるものではないことに注意ください。

ASMプロセスによる調査範囲

従来までのセキュリティ対策は、自組織に対して行われることがほとんどであり、大企業の中にはグループ全体での対策を行うケースもありました。しかし昨今のサプライチェーン攻撃の増加から、ASMプロセスによる調査範囲は自組織だけにとどまらず、サプライチェーンに含まれるあらゆる組織を対象とすることを検討すべきとの記載があります。

引用：経済産業省ウェブサイト（2023年9月23日参照）

ASMプロセスの実行頻度

「継続的な対応を推奨する」旨の記載がされているものの具体的な頻度についての記載はありません。組織の公開するアタックサーフェス情報は日々変化し、同時に日々新たな脆弱性の公開や、ベストプラクティスの更新が行われる現状を踏まえると、短いスパンでの実施が推奨されます。

頻繁な実施は業務負荷に直結する一方、セキュアな状態を維持することで一回あたりに指摘される問題点の量は減る可能性が高く、業務負荷を分散しているという考え方もできます。そのため、年に数回程度の定期的な実施ではなく、定常業務の一環として日々実施していくことが攻撃を受けるリスクを最大限低下させることにつながります。

ASMプロセスの導入メリットや効果

ASMプロセスを導入・運用することで、サプライチェーン全体の公開アタックサーフェスの適切な把握や、リスクの迅速な検出につながるなど多くのメリットや効果があります。

想定される具体的なメリットや効果をいくつか紹介しましょう。

• 自組織のシャドーITとなっている公開アタックサーフェスの発見
• 自組織で意図せず公開設定がされてしまっているアタックサーフェスの発見
• 自組織の公開アタックサーフェスに対する脆弱性や設定ミスのリアルタイム検出
• 攻撃者目線での自組織/グループ企業/取引先などのサプライチェーン各社に対するセキュリティリスク評価
• グループ全体で統一された基準によるセキュリティチェックとガバナンスの実現
• 取引先に対する情報提供によるサプライチェーン攻撃への予防効果

ASMプロセス実現の具体的な方法

公開アタックサーフェスに関する情報収集や分析を手動作業で実現することは非現実的です。専門のツールやサービスの利用が推奨されています。

ASMプロセスを実現するツールとは

本ガイダンスには、ASMプロセスの実現・運用のために必要とされるサプライチェーン各社(自組織、グループ企業、取引先)に対する公開アタックサーフェス情報の収集や管理、分析を実現するための必要な機能要件について詳しい記載があります。一方で、それらの機能を提供するような具体的な市場、ソリューションについての記載はありません。

現状、機能要件を満たすような市場は大きく２つありますので、こちらについても簡単に紹介しましょう。

ASM/EASMソリューション

ASMソリューションは、自社の公開アタックサーフェスの管理・可視化を行うためのソリューションです。外部に公開するアタックサーフェスに限定した管理を行うことからEASMソリューションと呼ばれることもあります。

ASMソリューションでは管理対象を手動で登録するのではなく、インターネット上の公開情報を自動で探索、情報収集をすることで公開アタックサーフェスを発見・登録されます。つまり、シャドーITを含むあらゆる公開アタックサーフェスの自動発見と管理を実現することができます。ドメインやIPアドレスだけではなく、それらに紐づく情報として利用されているハードウェアやソフトウェア、アプリケーション、脆弱性、アカウント情報、SSL証明書など様々な公開アタックサーフェス情報の管理が可能であることが特徴です。

ASM/EASMソリューションの詳細につきましては、こちらのブログを参照ください。

セキュリティ レーティングソリューション

セキュリティ レーティングは、サプライチェーンに含まれる各社に対して、攻撃者と同じ目線でセキュリティリスクを定常的に判定するようなソリューションです。日本ではセキュリティスコアリングサービス、サイバー防衛力の格付けソリューションなどとも呼ばれています。

サイバーキルチェーンにおける最初の段階「初期偵察(Reconnaissance)」フェーズに対する対策です。セキュリティリスクが可視化されることで、攻撃者に狙われる可能性のある箇所の把握ができます。自社であれば適切な対応によるキュリティリスクの低減が可能です。サプライチェーンに含まれる他社でセキュリティリスクが高い組織があれば、そこから攻撃が行われる可能性を考慮した事前の備えができます。それだけではなく、その組織に対して状況を共有し、一緒にセキュリティリスクを低減するようなアプローチも可能です。

セキュリティ レーティングの詳細につきましては、こちらのブログを参照ください。

ASMソリューションとセキュリティ レーティングの一般的な違いは、調査対象範囲とその粒度です。前者が自社に特化した公開アタックサーフェスに対する深い情報収集・分析を行う狭く深い調査分析ソリューションであるのに対し、後者はサプライチェーン全体に対する情報収集・分析を行う広く浅い調査分析ソリューションといえます。一概にはいえませんが、各組織に適したソリューションを利用することが重要です。

まとめ

サプライチェーン攻撃が広く行われるようになったことで、組織のセキュリティ対策として求められるカバー領域もまたサプライチェーン全体へと広がるようになりました。同時に、攻撃の予防的な観点でのセキュリティ対策の重要性も増しています。

従来までのセキュリティ対策は攻撃に対する備えにはなりますが、攻撃そのものの数を減らす効果は期待できません。ASMプロセスを導入し、自社のセキュリティ対策への備えを強化するとともに、サプライチェーン全体でのセキュリティ対策の改善の取り組みを始めてみてはいかがでしょうか。

弊社では、ASMソリューションであるMandiant Attack Surface Managementや、インテリジェンスを提供するSecurityScorecard Attack Surface Intelligence、セキュリティ レーティングであるSecurityScorecard Ratingsを取り扱っております。ASMプロセスの導入についてご興味や相談してみたいという方はぜひ弊社までお問い合わせください。