組織の攻撃対象領域は、ハッカーがネットワーク、または機密データへの不正アクセスを行うため、あるいはサイバー攻撃を実行するために使用される脆弱性、過程、または手法を総括したもので、攻撃ベクトルと呼ばれることもあります。
組織がますますクラウド・サービスとハイブリッド(オンプレミスと在宅勤務)ワーク・モデルを採用するにつれ、そのネットワークと関連する攻撃対象領域は、日々ますます拡大し、複雑化しています。 Randori社の 2022年攻撃対象領域管理に関する調査(英語)(ibm.com 外部のリンク)(Randori社はIBMの子会社)によると、組織の67%に過去2年間で攻撃対象領域の拡大が見られます。 業界アナリストのGartner社は、攻撃対象領域の拡大を 2022年のセキュリティーとリスクの管理のトレンドのトップ(英語)(ibm.com外部のリンク)に挙げました。
セキュリティーの専門家は、攻撃対象領域を、デジタル攻撃対象領域、物理攻撃対象領域、ソーシャル・エンジニアリング攻撃対象領域の、3つの下位領域に分けています。
デジタル攻撃対象領域により、組織のクラウド上やオンプレミスのインフラストラクチャーは、インターネット接続を使用したあらゆるハッカーに対して無防備になっている可能性があります。 組織のデジタル攻撃対象領域における一般的な攻撃ベクトルには、以下が含まれます。
脆弱なパスワード:推測しやすいパスワードやブルート・フォース・アタックによって解読しやすいパスワードは、サイバー犯罪者が、ネットワークにアクセスし、機密情報を盗み、マルウェアを拡散し、インフラストラクチャーに損害を与えるために、ユーザー・アカウントを侵害するリスクを増大させてしまいます。 IBMの 2021年データ侵害のコストのレポートによると、2021年に最もよく悪用された初期攻撃ベクトルが侵害された資格情報でした。
構成ミス:不適切に構成されたネットワークのポート、チャネル、ワイヤレス・アクセス・ポイント、ファイアウォール、またはプロトコルは、ハッカーのエントリー・ポイントとして機能します。 例えば、中間者攻撃は、メッセージの受け渡しを行うチャネル上の脆弱な暗号化プロトコルを利用して、システム間の通信を傍受します。
ソフトウェア、オペレーティング・システム(OS)およびファームウェアの脆弱性:ハッカーやサイバー犯罪者は、サード・パーティーのアプリケーション、OS、および他のソフトウェア、またはファームウェアにおけるコーディング・エラー、もしくは実装エラーを利用して、ネットワークへの侵入、ユーザーのディレクトリーへのアクセス、またはマルウェアの植え付けを行います。 例えば、2021年には、サイバー犯罪者が Kaseya社のVSA(仮想ストレージ・アプライアンス)プラットフォームを利用(英語)(ibm.com 外部のリンク)して、Kaseya社の顧客に対してソフトウェアの更新を偽装したランサムウェアを拡散させました。
インターネット向け資産:パブリック・インターネット対応のWebアプリケーション、Webサーバー、その他のリソースは、攻撃に対して本質的に脆弱です。 例えば、ハッカーは悪意のあるコードを破棄アプリケーション・プログラミング・インターフェース(API)に注入し、その結果、関連するデータベースの機密情報の不適切な漏洩や破壊を引き起こします。
共有データベースとディレクトリー:ハッカーは、システムとデバイスの間で共有されているデータベースとディレクトリーを悪用し、機密リソースへの不正アクセスやランサムウェア攻撃を開始します。 2016年、Virlockランサムウェアの拡散(英語)(ibm.com 外部のリンク)は、複数のデバイスからアクセスされた連携ファイル・フォルダーに感染したことから起こりました。
古い、またはサポートされていないデバイス、データ、あるいはアプリケーション:一貫性をもって更新とパッチを適用しなければ、セキュリティー上のリスクが発生します。 注目すべき例の1つは、WannaCryランサムウェアです。これは、パッチが利用可能だった Microsoft Windowsのオペレーティング・システムの脆弱性を悪用(英語)(ibm.com 外部のリンク)することで拡散されました。 同様に、サポートされていないエンドポイント、データ・セット、ユーザー・アカウント、およびアプリケーションが適切にアンインストールされない、削除されない、または破棄されない場合、これらは、サイバー犯罪者が容易に悪用できる監視されていない脆弱性を作り出してしまいます。
シャドーIT:「シャドーIT」とは、従業員がIT部門の知識や承認なしに使用できるソフトウェア、ハードウェア、またはデバイスで、無料、または人気のアプリケーション、ポータブル・ストレージ・デバイス、また安全でない個人のモバイル・デバイスに見られます。 シャドー ITは、ITチームやセキュリティー・チームによって監視されていないため、ハッカーが悪用できる深刻な脆弱性をもたらす可能性があります。
物理攻撃対象領域は、通常は、企業の物理的なオフィスやエンドポイント・デバイス(サーバー、コンピューター、ノートPC、モバイル・デバイス、IoTデバイス、オペレーショナル・ハードウェア)へのアクセスを認可されたユーザーのみがアクセス可能な資産や情報を無防備にします。
悪意のあるインサイダー:不満を持っている、または賄賂を受け取っている悪意ある従業員やその他のユーザーは、特権アクセスを使用して、機密データを盗む、デバイスを無効化する、マルウェアを植え付ける、または更に悪質なことを行う可能性があります。
デバイスの盗難:犯罪者は、組織の敷地内に侵入することにより、エンドポイント・デバイスを盗む、またはエンドポイント・デバイスにアクセスする可能性があります。 いったんハードウェアを所有すると、ハッカーはこれらのデバイスに保存されているデータとプロセスにアクセスできます。 また、デバイスのIDと他のネットワーク・リソースへのアクセス許可を使用することもできます。 リモート・ワーカー、従業員の個人使用デバイス、不適切に廃棄されたデバイスによって使用されたエンドポイントは、典型的な盗難のターゲットになります。
ベイティング:ベイティングは、ハッカーがマルウェアに感染したUSBドライブを公共の場所に置き、ユーザーを騙してユーザーのコンピューターにそのデバイスを接続させて意図せずにマルウェアをダウンロードさせる攻撃です。
ソーシャル・エンジニアリングは、人々を操作して、共有してはならない情報の共有、ダウンロードしてはならないソフトウェアのダウンロード、アクセスしてはならないWebサイトへのアクセス、犯罪者への送金を仕向けたり、個人や組織の資産やセキュリティーを危険にさらすその他の間違いを犯すよう誘導します。
これは、技術的な脆弱性やデジタル・システムの脆弱性よりも人間の弱点を悪用するため、ソーシャル・エンジニアリングは「人間ハッキング」と呼ばれることもあります。
組織のソーシャル・エンジニアリング攻撃対象領域は、基本的に、ソーシャル・エンジニアリング攻撃に対する準備ができていない認可されたユーザー数または、ソーシャル・エンジニアリング攻撃に対して脆弱なユーザー数を総括したものになります。
フィッシングは最も有名で最も普及しているソーシャル・エンジニアリングの攻撃ベクトルです。 フィッシング攻撃では、詐欺師は、受信者を操作して機密情報の共有、悪意のあるソフトウェアのダウンロード、金銭や資産の誤った人への転送、またはその他の有害な行動をとろうとする電子メール、テキスト・メッセージ、あるいは音声メッセージを送ります。 詐欺師は、信頼できる、信用に足る組織または個人(人気のある小売業者、政府組織、または受信者が個人的に知っている人物の場合もある)から送信されたように見える、または聞こえるフィッシング・メッセージを作成します。
IBMの2021年データ侵害のコストのレポートによると、ソーシャル・エンジニアリングはデータ侵害の原因で第2位となっています。
攻撃対象領域管理(ASM)とは、組織の攻撃対象領域に対してハッカーの視点とアプローチを利用したプロセスとテクノロジーのことで、ハッカーが組織をターゲットにしたときに見つけ悪用を試みる資産と脆弱性を検出し、継続的に監視します。 ASMには通常、以下が含まれています。
脆弱性が見つかる可能性のある資産の継続的な検出、インベントリー管理、監視。 あらゆるASMイニシアチブは、組織のインターネットに対応したIT資産(オンプレミスの資産とクラウドの資産を含む)のインベントリーを完全にかつ継続的に更新することから始まります。 ハッカーのアプローチを採用することで、既知の資産だけでなく、シャドー IT (上記を参照)、放棄されたが削除または非アクティブ化されていないアプリケーションまたはデバイス(サポートされていないIT)、ハッカーまたはマルウェアによって植え付けられた資産(不良IT)など、ハッカーやサイバー脅威によって悪用される可能性があるあらゆる資産を検出します。
資産は一度検出されると、潜在的な攻撃ベクトルとしてのリスクを増大させる変化がないか、リアルタイムで継続的に監視されます。
攻撃対象領域分析、リスク評価、優先順位付け。 ASMテクノロジーは、資産の脆弱性とセキュリティー・リスクの可能性に基づき、資産をスコア付けし、脅威応答と修正に向けて優先順位付けを行います。
攻撃対象領域と修正。 セキュリティー・チームは、攻撃対象領域分析の調査結果とレッド・チームの調査結果を適用し、攻撃対象領域を減らすためのさまざまな短期的なアクションを実行できます。 これらには、より強力なパスワードの適用、この先使用しないアプリケーションとエンドポイント・デバイスの非アクティブ化、アプリケーションとOSパッチの適用、ユーザーにフィッシング詐欺を認識させるための研修、オフィスの入り口でのバイオメトリックのアクセス制御、またはソフトウェアダウンロードとリムーバブル・メディアに関するセキュリティーの制御とポリシーの改訂が含まれます。
組織はまた、攻撃対象領域イニシアチブの一部、あるいは攻撃対象領域イニシアチブから独立して、攻撃対象領域を減らすために、より構造的または長期のセキュリティー対策を取ることになる可能性もあります。 例えば、2要素認証(2FA)または多要素認証 は、脆弱なパスワードや不十分なパスワード対策に関連して起こる可能性のある脆弱性を削減または除去します。
より大きな規模では、ゼロトラスト・セキュリティー・アプローチは、組織の攻撃対象領域を減らすことができます。 ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。 ゼロトラストの原則とテクノロジー(継続的な検証、最小特権アクセス、継続的な監視、ネットワークのマイクロセグメンテーション)は、多くの攻撃ベクトルを削減また除去し、進行中の攻撃対象領域分析に価値あるデータを提供できます。
お客様のデジタル・フットプリントの拡張を管理し、偽陽性の数を減らして目標を設定し、組織のサイバー・レジリエンスを迅速に向上させます。
お客様のツールを接続し、セキュリティー・オペレーション・センター(SOC)を自動化することによって空いた時間を、最も重要な事柄に費やせるようになります。
最も重要な資産を無防備にする可能性のある欠陥の修正を特定し、優先順位を付けて管理します。
ソーシャル・エンジニアリングは、技術的なハッキングよりも心理的操作を利用して、個人または企業のセキュリティーを侵害します。
マルウェアは、コンピューターやネットワークに損害を与えたり破壊するために、またはコンピューター、ネットワーク、あるいはデータへの不正アクセスを提供するために書かれたソフトウェア・コードのことです。
ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。
内部脅威は、企業の資産にアクセスすることを許可されているユーザーが、故意に、または偶発的にその資産を侵害した時に発生します。
クラウド・コンピューティング環境とワークロードを保護するためのガイドです。
データ・セキュリティーは、デジタル情報を盗難、汚染、 またはそのライフサイクル全体にわたる不正アクセスから保護するためのプラクティスです。