組織の攻撃対象領域とは、ハッカーがネットワークや機密データへの不正アクセスを手に入れたり、サイバー攻撃を実行したりするために利用できる脆弱性、経路、または手法(攻撃ベクトルと呼ばれることもあります)全体を指します。
クラウド・サービスやハイブリッド(オンプレミス/在宅勤務)ワークモデルの導入が進む中で、企業のネットワークや関連する攻撃対象領域は、日に日に拡大し、複雑化しています。Randori の「The State of Attack Surface Management 2022」によると、過去12カ月で67%の組織に攻撃対象領域の拡大が見られました。業界アナリストであるGartner社は、2022年のセキュリティーおよびリスク管理のトップ・トレンド(ibm.com外部へのリンク)で、攻撃対象領域の拡大を第1位に挙げました。
セキュリティーの専門家は、攻撃対象領域を、デジタル攻撃対象領域、物理的攻撃対象領域、およびソーシャル・エンジニアリング攻撃対象領域という3つのサブ対象領域に分けています。
データ侵害のコストは過去最高を更新。604の組織と3,556人のサイバーセキュリティーおよびビジネス・リーダーの経験から得られたコストを削減するための洞察をご確認ください。
X-Force脅威インテリジェンス・インデックス 2024 ー 攻撃者の戦術を深く理解し、ID保護に関する推奨事項をご確認ください。
デジタル攻撃対象領域により、組織のクラウド上やオンプレミスのインフラストラクチャーは、インターネット接続を使用したあらゆるハッカーに対して無防備になっている可能性があります。組織のデジタル攻撃対象領域における一般的な攻撃ベクトルには次のものがあります。
- 脆弱なパスワード
- 設定ミス
- ソフトウェア、オペレーティング・システム(OS)、ファームウェアの脆弱性
- インターネットに接続している資産
- 共有データベースとディレクトリー
- 古い、またはサポートされていないデバイス、データ、またはアプリケーション
- シャドーIT
脆弱なパスワード:推測しやすいパスワードやブルート・フォース攻撃によって解読しやすいパスワードは、サイバー犯罪者がユーザー・アカウントを侵害して、ネットワークにアクセスし、機密情報を盗み、マルウェアを拡散し、インフラストラクチャーに損害を与えるリスクを高めます。IBMの2021年データ侵害コスト・レポートによると、2021年に最も多かった初期攻撃ベクトルは、侵害された認証情報でした。
設定ミス:正しく設定されていないネットワークのポート、チャネル、ワイヤレス・アクセス・ポイント、ファイアウォール、またはプロトコルは、ハッカーの侵入口になります。例えば、中間者攻撃は、メッセージの受け渡しを行うチャネル上の脆弱な暗号化プロトコルを利用して、システム間の通信を傍受します。
ソフトウェア、OS、ファームウェアの脆弱性:ハッカーやサイバー犯罪者は、サードパーティのアプリ、OS、その他のソフトウェアやファームウェアのコーディング・エラーや実装エラーを利用して、ネットワークに侵入したり、ユーザー・ディレクトリーにアクセスしたり、マルウェアを植え付けたりする可能性があります。例えば、2021年にサイバー犯罪者はKaseya社のVSA(仮想ストレージ・アプライアンス)プラットフォームの欠陥を利用して(ibm.com外部へのリンク)、Kaseya社の顧客に対してソフトウェアの更新を偽装したランサムウェアを拡散させました。
インターネットに接続している資産:パブリック・インターネット対応のWebアプリケーション、Webサーバー、その他のリソースは、攻撃に対して本質的に脆弱です。例えば、ハッカーはセキュリティーで保護されていないアプリケーション・プログラミング・インターフェース(API)に悪意のあるコードを注入し、その結果、関連するデータベース内の機密情報の不適切な漏洩や破壊を引き起こします。
共有データベースとディレクトリー:ハッカーは、システムとデバイスの間で共有されているデータベースやディレクトリーを悪用して、機密リソースへの不正アクセスを行ったり、ランサムウェア攻撃を仕掛けたりすることがあります。2016年には、Virlockランサムウェアの拡散(ibm.com外部へのリンク)が、複数のデバイスからアクセスされた連携ファイル・フォルダーに感染したことから発生しました。
古い、またはサポートされていないデバイス、データ、またはアプリケーション:更新とパッチを絶えず適用しないと、セキュリティー上のリスクが発生します。注目すべき例の1つは、WannaCryランサムウェアです。これは、Microsoft Windowsのオペレーティング・システムの脆弱性を悪用(ibm.com外部へのリンク)することで拡散されましたが、この脆弱性に対してはパッチが提供されていました。同様に、サポートされていないエンドポイント、データ・セット、ユーザー・アカウント、およびアプリケーションがアンインストール、削除、または破棄されない場合、これらは、サイバー犯罪者が容易に悪用できる監視されていない脆弱性を作り出してしまいます。
シャドーIT:「シャドーIT」とは、従業員がIT部門の知らないうちに、または承認なしに使用するソフトウェア、ハードウェア、またはデバイスのことで、無料、または人気のアプリ、ポータブル・ストレージ・デバイス、またセキュリティーで保護されていない個人のモバイル・デバイスに見られます。シャドーITは、ITチームやセキュリティー・チームによって監視されていないため、ハッカーが悪用できる深刻な脆弱性を生み出す可能性があります。
物理的攻撃対象領域は、通常は、組織の物理的なオフィスまたはエンドポイント・デバイス(サーバー、コンピューター、ノートPC、モバイル・デバイス、IoTデバイス、オペレーショナル・ハードウェア)へのアクセスを認可されたユーザーのみがアクセスできる資産や情報を公開します。
悪意のあるインサイダー:不満を持っている、または賄賂を受け取っている悪意のある従業員やその他のユーザーは、アクセス権限を利用して、機密データを盗む、デバイスを無効化する、マルウェアを植え付ける、またはさらに悪質なことを行う可能性があります。
デバイスの盗難:犯罪者は、組織の敷地内に侵入することにより、エンドポイント・デバイスを盗んだり、またはエンドポイント・デバイスにアクセスしたりする可能性があります。ハッカーは、ハードウェアを手に入れると、これらのデバイスに保存されているデータやプロセスにアクセスできます。また、デバイスのIDと権限を使用して、他のネットワーク・リソースにアクセスする場合もあります。リモートワーカー、従業員の個人使用デバイス、および不適切に廃棄されたデバイスによって使用されたエンドポイントは、盗難の標的の典型です。
ベイティング:ベイティングは、ハッカーがマルウェアに感染したUSBドライブを公共の場所に置き、ユーザーを騙してユーザーのコンピューターにそのデバイスを接続させて、意図せずにマルウェアをダウンロードさせる攻撃です。
ソーシャル・エンジニアリングは、次のような方法で、個人または組織の資産やセキュリティーを危険にさらす間違いを犯すように人々を操作します。
- 共有すべきではない情報を共有する
- ダウンロードすべきでないソフトウェアをダウンロードする
- アクセスすべきでないWebサイトにアクセスする
- 犯罪者に送金する
ソーシャル・エンジニアリングは、技術的な脆弱性やデジタル・システムの脆弱性よりも人間の弱点を悪用するため、「人間ハッキング」と呼ばれることもあります。
組織のソーシャル・エンジニアリング攻撃対象領域は、基本的に、ソーシャル・エンジニアリング攻撃に対する準備ができていない、またはソーシャル・エンジニアリング攻撃に対して脆弱な認可されたユーザーの数に相当します。
フィッシングは、最もよく知られ、最も広く使用されているソーシャル・エンジニアリングの攻撃ベクトルです。フィッシング攻撃では、詐欺師は、受信者を操作して、機密情報の共有、悪意のあるソフトウェアのダウンロード、誤った相手への金銭や資産の送付、その他の有害な行動を取らせようとするEメール、テキスト・メッセージ、または音声メッセージを送ります。詐欺師は、信頼できる、信用に足る組織または個人(よく知られている小売業者、政府機関、または受信者が個人的に知っている人物の場合もある)から送信されたように見える、または聞こえるフィッシング・メッセージを作成します。
IBMの2021年データ侵害のコスト・レポートによると、データ侵害の原因として、ソーシャル・エンジニアリングが2番目に多いと報告されています。
攻撃対象領域管理(ASM)とは、組織の攻撃対象領域に対するハッカーの視点とアプローチを採用するプロセスとテクノロジーのことで、ハッカーが組織を標的にする際に目にし、悪用しようとする資産や脆弱性を発見し、継続的に監視します。通常、ASMには以下が含まれています。
脆弱性が見つかる可能性のある資産の継続的な発見、インベントリー管理、監視。ASMイニシアチブは、インターネットに接続されている組織のIT資産(オンプレミスの資産とクラウドの資産を含む)のインベントリーを完全にかつ継続的に更新することから始まります。ハッカーのアプローチを採用することで、既知の資産だけでなく、シャドーITアプリケーションやデバイスも確実に検出されます。これらのアプリケーションやデバイスは、放棄されたが削除または非アクティブ化されていな可能性があります(孤立したIT)。また、ハッカーやマルウェアによって埋め込まれた資産(不正IT)など、ハッカーやサイバー脅威によって悪用される可能性のあるあらゆる資産が検出されます。
資産は一度検出されると、潜在的な攻撃ベクトルとしてのリスクを高める変化がないか、リアルタイムで継続的に監視されます。
攻撃対象領域分析、リスク評価、優先順位付け。ASMのテクノロジーは、資産の脆弱性とそれがもたらすセキュリティー・リスクに応じて資産をスコア付けし、脅威への対応と修復のために優先順位付けを行います。
攻撃対象領域の縮小と修復。セキュリティー・チームは、攻撃対象領域分析の調査結果とレッド・チームの調査結果を適用して、攻撃対象領域を縮小するためのさまざまな短期的なアクションを実行できます。これには、より強力なパスワードの適用、今後使用しないアプリケーションとエンドポイント・デバイスの非アクティブ化、アプリケーションとOSのパッチの適用、ユーザーにフィッシング詐欺を見分けさせるためのトレーニング、オフィスへの入室時の生体認証アクセス制御の導入、ソフトウェアのダウンロードとリムーバブル・メディアに関するセキュリティー・コントロールとポリシーの改訂などが含まれます。
また、組織は攻撃対象領域の管理イニシアチブの一環として、または攻撃対象領域イニシアチブとは独立して、攻撃対象領域を縮小するためにより構造的または長期的なセキュリティー対策をとる場合もあります。例えば、 2要素認証(2fa)または多要素認証を実装すると、脆弱なパスワードや不十分なパスワード管理に関連して起こる可能性のある脆弱性を軽減または排除できます。
より広い範囲で見ると、ゼロトラスト・セキュリティー・アプローチは、組織の攻撃対象領域を大幅に縮小することができます。ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。ゼロトラストの原則とテクノロジー(継続的な検証、最小特権アクセス、継続的な監視、ネットワークのマイクロセグメンテーション)は、多くの攻撃ベクトルを削減または排除し、継続的な攻撃対象領域の分析のための価値あるデータを提供できます。
最もクリティカルな資産を危険にさらす可能性のある欠陥を特定し、優先順位付けを行い、その修復を管理する脆弱性管理プログラムを導入します。
あらゆる環境において、構造化データと非構造化データの正確でスケーラブルかつ統合された検出と分類を行います。
ソーシャル・エンジニアリングは、技術的なハッキングではなく、心理的な操作を使って個人または企業のセキュリティーを侵害します。
マルウェアとは、コンピューターやネットワークに損害を与えたり破壊したり、あるいはコンピューター、ネットワーク、データへの不正アクセスを行うために作成されたソフトウェア・コードです。
ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。
インサイダー脅威は、企業の資産へのアクセスを許可されたユーザーが意図的または偶発的に資産を危険にさらすことで発生します。
クラウド・コンピューティング環境とワークロードをセキュリティーで保護するためのガイド。
データ・セキュリティーとは、デジタル情報を、そのライフサイクル全体を通じて、盗難、破損、または不正アクセスから保護する取り組みです。