組織の攻撃対象領域とは、ハッカーがネットワークや機密データへの不正アクセスを手に入れたり、サイバー攻撃を実行したりするために利用できる脆弱性、経路、または手法(攻撃ベクトルと呼ばれることもあります)全体を指します。
クラウド・サービスやハイブリッド(オンプレミス/在宅勤務)ワークモデルの導入が進む中で、企業のネットワークや関連する攻撃対象領域は、日に日に拡大し、複雑化しています。Randoriの『The State of Attack Surface Management 2022』によると、過去12カ月で67%の組織に攻撃対象領域の拡大が見られました。
セキュリティーの専門家は、攻撃対象領域を、デジタル攻撃対象領域、物理的攻撃対象領域、およびソーシャル・エンジニアリング攻撃対象領域という3つのサブ対象領域に分けています。
Thinkニュースレター
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
サブスクリプションは英語で配信されます。すべてのニュースレターに登録解除リンクがあります。サブスクリプションの管理や解除はこちらから。詳しくはIBMプライバシー・ステートメントをご覧ください。
デジタル攻撃対象領域により、組織のクラウド上やオンプレミスのインフラストラクチャーは、インターネット接続を使用したあらゆるハッカーに対して無防備になっている可能性があります。組織のデジタル攻撃対象領域における一般的な攻撃ベクトルには次のものがあります。
脆弱なパスワード:推測しやすいパスワードやブルート・フォース攻撃によって解読しやすいパスワードは、サイバー犯罪者がユーザー・アカウントを侵害して、ネットワークにアクセスし、機密情報を盗み、マルウェアを拡散し、インフラストラクチャーに損害を与えるリスクを高めます。IBMのCost of a Data Breach Report 2025によると、漏洩の10%に資格情報の漏洩が関係しています。
設定ミス:正しく設定されていないネットワークのポート、チャネル、ワイヤレス・アクセス・ポイント、ファイアウォール、またはプロトコルは、ハッカーの侵入口になります。たとえば、中間者攻撃は、メッセージの受け渡しを行うチャネル上の脆弱な暗号化プロトコルを利用して、システム間の通信を傍受します。
ソフトウェア、OS、ファームウェアの脆弱性:ハッカーやサイバー犯罪者は、サードパーティのアプリ、OS、その他のソフトウェアやファームウェアのコーディング・エラーや実装エラーを利用して、ネットワークに侵入したり、ユーザー・ディレクトリーにアクセスしたり、マルウェアを植え付けたりする可能性があります。例えば、2021年にサイバー犯罪者はKaseya社のVSA(仮想ストレージ・アプライアンス)プラットフォームの欠陥を利用して、Kaseya社の顧客に対してソフトウェアの更新を偽装したランサムウェアを拡散させました。
インターネットに接続している資産:パブリック・インターネット対応のWebアプリケーション、Webサーバー、その他のリソースは、攻撃に対して本質的に脆弱です。例えば、ハッカーはセキュリティーで保護されていないアプリケーション・プログラミング・インターフェース(API)に悪意のあるコードを注入し、その結果、関連するデータベース内の機密情報の不適切な漏洩や破壊を引き起こします。
共有データベースとディレクトリー:ハッカーは、システムとデバイスの間で共有されているデータベースやディレクトリーを悪用して、機密リソースへの不正アクセスを行ったり、ランサムウェア攻撃を仕掛けたりすることがあります。2016年には、Virlockランサムウェアの拡散が、複数のデバイスからアクセスされた連携ファイル・フォルダーに感染したことから発生しました。
古い、またはサポートされていないデバイス、データ、またはアプリケーション:更新とパッチを絶えず適用しないと、セキュリティー上のリスクが発生します。注目すべき例の1つは、WannaCryランサムウェアです。これは、Microsoft Windowsのオペレーティング・システムの脆弱性を悪用することで拡散されましたが、この脆弱性に対してはパッチが提供されていました。同様に、サポートされていないエンドポイント、データ・セット、ユーザー・アカウント、およびアプリケーションがアンインストール、削除、または破棄されない場合、これらは、サイバー犯罪者が容易に悪用できる監視されていない脆弱性を作り出してしまいます。
シャドーIT:「シャドーIT」とは、従業員がIT部門の知らないうちに、または承認なしに使用するソフトウェア、ハードウェア、またはデバイスのことで、無料、または人気のアプリ、ポータブル・ストレージ・デバイス、またセキュリティーで保護されていない個人のモバイル・デバイスに見られます。シャドーITは、ITチームやセキュリティー・チームによって監視されていないため、ハッカーが悪用できる深刻な脆弱性を生み出す可能性があります。
物理的攻撃対象領域は、通常は、組織の物理的なオフィスまたはエンドポイント・デバイス(サーバー、コンピューター、ノートPC、モバイル・デバイス、IoTデバイス、オペレーショナル・ハードウェア)へのアクセスを認可されたユーザーのみがアクセスできる資産や情報を公開します。
悪意のあるインサイダー:不満を持っている、または賄賂を受け取っている悪意のある従業員やその他のユーザーは、アクセス権限を利用して、機密データを盗む、デバイスを無効化する、マルウェアを植え付ける、またはさらに悪質なことを行う可能性があります。
デバイスの盗難:犯罪者は、組織の敷地内に侵入することにより、エンドポイント・デバイスを盗んだり、またはエンドポイント・デバイスにアクセスしたりする可能性があります。ハッカーは、ハードウェアを手に入れると、これらのデバイスに保存されているデータやプロセスにアクセスできます。また、デバイスのIDと権限を使用して、他のネットワーク・リソースにアクセスする場合もあります。リモートワーカー、従業員の個人使用デバイス、および不適切に廃棄されたデバイスによって使用されたエンドポイントは、盗難の標的の典型です。
ベイティング:ベイティングは、ハッカーがマルウェアに感染したUSBドライブを公共の場所に置き、ユーザーを騙してユーザーのコンピューターにそのデバイスを接続させて、意図せずにマルウェアをダウンロードさせる攻撃です。
ソーシャル・エンジニアリングは、次のような方法で、個人または組織の資産やセキュリティーを危険にさらす間違いを犯すように人々を操作します。
ソーシャル・エンジニアリングは、技術的な脆弱性やデジタル・システムの脆弱性よりも人間の弱点を悪用するため、「人間ハッキング」と呼ばれることもあります。
組織のソーシャル・エンジニアリング攻撃対象領域は、基本的に、ソーシャル・エンジニアリング攻撃に対する準備ができていない、またはソーシャル・エンジニアリング攻撃に対して脆弱な認可されたユーザーの数に相当します。
フィッシングは、最もよく知られ、最も広く使用されているソーシャル・エンジニアリングの攻撃ベクトルです。IBMのCost of a Data Breach 2025レポートによると、フィッシングがデータ侵害の主な原因となっています。
フィッシング攻撃では、詐欺師は、受信者を操作して、機密情報の共有、悪意のあるソフトウェアのダウンロード、誤った相手への金銭や資産の送付、その他の有害な行動を取らせようとするEメール、テキスト・メッセージ、または音声メッセージを送ります。詐欺師は、信頼できる、信用に足る組織または個人(よく知られている小売業者、政府機関、または受信者が個人的に知っている人物の場合もある)から送信されたように見える、または聞こえるフィッシング・メッセージを作成します。
攻撃対象領域管理(ASM)とは、組織の攻撃対象領域に対するハッカーの視点とアプローチを採用するプロセスとテクノロジーのことで、ハッカーが組織を標的にする際に目にし、悪用しようとする資産や脆弱性を発見し、継続的に監視します。典型的なASMには、以下の要素が関係します。
脆弱性が見つかる可能性のある資産の継続的な発見、インベントリー管理、監視。ASMイニシアチブは、インターネットに接続されている組織のIT資産(オンプレミスの資産とクラウドの資産を含む)のインベントリーを完全にかつ継続的に更新することから始まります。ハッカーのアプローチを採用することで、既知の資産だけでなく、シャドーITアプリケーションやデバイスも確実に検出されます。これらのアプリケーションやデバイスは、放棄されたが削除または非アクティブ化されていな可能性があります(孤立したIT)。また、ハッカーやマルウェアによって埋め込まれた資産(不正IT)など、ハッカーやサイバー脅威によって悪用される可能性のあるあらゆる資産が検出されます。
資産は一度検出されると、潜在的な攻撃ベクトルとしてのリスクを高める変化がないか、リアルタイムで継続的に監視されます。
攻撃対象領域分析、リスク評価、優先順位付け。ASMのテクノロジーは、資産の脆弱性とそれがもたらすセキュリティー・リスクに応じて資産をスコア付けし、脅威への対応と修復のために優先順位付けを行います。
攻撃対象領域の縮小と修復。セキュリティー・チームは、攻撃対象領域分析の調査結果とレッド・チームの調査結果を適用して、攻撃対象領域を縮小するためのさまざまな短期的なアクションを実行できます。これには、より強力なパスワードの適用、今後使用しないアプリケーションとエンドポイント・デバイスの非アクティブ化、アプリケーションとOSのパッチの適用、ユーザーにフィッシング詐欺を見分けさせるためのトレーニング、オフィスへの入室時の生体認証アクセス制御の導入、ソフトウェアのダウンロードとリムーバブル・メディアに関するセキュリティー・コントロールとポリシーの改訂などが含まれます。
また、組織は攻撃対象領域の管理イニシアチブの一環として、または攻撃対象領域イニシアチブとは独立して、攻撃対象領域を縮小するためにより構造的または長期的なセキュリティー対策をとる場合もあります。たとえば、2要素認証(2FA)または多要素認証を実装すると、脆弱なパスワードや不十分なパスワード管理に関連して起こる可能性のある脆弱性を軽減または排除できます。
より広い範囲で見ると、ゼロトラスト・セキュリティー・アプローチは、組織の攻撃対象領域を大幅に縮小することができます。ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。ゼロトラストの原則とテクノロジー(継続的な検証、最小特権アクセス、継続的な監視、ネットワークのマイクロセグメンテーション)は、多くの攻撃ベクトルを削減または排除し、継続的な攻撃対象領域の分析のための価値あるデータを提供できます。