ホーム

Topics

アタック・サーフェス・マネジメント(攻撃対象領域管理)とは

攻撃領域管理とは
サイバー・レジリエンスの向上に寄与する攻撃型セキュリティー製品
雲、携帯電話、指紋、チェックマークのピクトグラムをコラージュしたイラスト。
攻撃領域管理とは

攻撃対象領域管理(ASM)とは、組織の攻撃対象領域を構成するサイバーセキュリティーの脆弱性と潜在的な攻撃ベクトルを継続的に検出、分析、優先順序付け、修復、監視することです。

他のサイバーセキュリティー分野とは異なり、ASMは防御側の視点ではなく、完全にハッカー側の視点から行われます。つまり、標的を特定し、悪意のある攻撃者が手にすることになる機会の程度に基づいてリスクを評価します。

ASMは、ハッカーが使用するものと同じ手法やリソースの多くに依存しています。ASMのタスクとテクノロジーの多くは、サイバー犯罪者の行動に精通しており、その行動を模範するスキルに長けた「倫理的ハッカー」によって考案・実行されています。

外部攻撃対象領域管理(EASM)は比較的新しいASMテクノロジーで、ASMと混同して使用されることがあります。しかし、EASMは、特に組織の外部またはインターネットに接続されたIT資産が抱える脆弱性とリスクに焦点を当てています。これは、組織のデジタル攻撃対象領域と呼ばれることもあります。

ASMは、悪意のあるインサイダーやフィッシング詐欺に対する不十分なエンドユーザートレーニングなど、組織の物理的および社会的エンジニアリング上の攻撃対象領域にある脆弱性にも対処します。

データ侵害のコスト

最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。

関連コンテンツ X-Force Threat Intelligenceインデックスに登録する
組織が攻撃対象領域管理に目を向けている理由

近年進んでいるクラウドの利用拡大、デジタル・トランスフォーメーション、リモートワークの拡大により、一般企業のデジタルフットプリントと攻撃対象領域はより広範囲かつ動的なものとなり、企業ネットワークに毎日接続する新たな資産も増加しています。

企業ネットワークがより安定的で集中管理されていた時代に開発された従来の資産検出、リスク評価、脆弱性管理のプロセスでは、今日のネットワークで新たに発生する脆弱性や攻撃ベクトルのスピードに追い付くことができません。たとえば、ペネトレーション・テストでは既知の資産における疑わしい脆弱性をテストすることはできますが、セキュリティー・チームが日々発生する新たなサイバーリスクや脆弱性を特定することはできません。

しかし、ASMの継続的なワークフローとハッカーの視点により、セキュリティー・チームとセキュリティー・オペレーション・センター(SOC)は、常に拡大し、変化し続ける攻撃対象領域に対して、プロアクティブなセキュリティー体制を確立できます。ASMソリューションは脆弱性や攻撃ベクトルが発生した時点で、リアルタイムで可視化します。

脆弱性の分析と優先順位付けを行う際には、従来のリスク評価や脆弱性管理ツールやプロセスから得られる情報を活用し、より詳細な状況把握を行うことができます。また、SIEM(セキュリティー情報とイベント管理)EDR(エンドポイントの検出と対応)、XDR(拡張検知と対応)などの脅威検知と対応のテクノロジーと統合し、脅威の緩和と全社的な脅威対応を迅速化できます。

ASMの仕組み

ASMは、資産の検出、分類と優先順位付け、修復と監視という4つのコア・プロセスで構成されています。繰り返しになりますが、デジタル攻撃対象領域の規模と形状は常に変化しているため、プロセスは継続的に実施され、ASMソリューションは可能な限りこれらのプロセスを自動化します。ここでの狙いは、公開されている資産の完全な最新インベントリーをセキュリティー・チームに提供し、組織にとって最大のリスクとなる脆弱性や脅威への対応を加速させることです。

資産の検出

資産の検出では、組織への攻撃を試みるハッカーやサイバー犯罪者の侵入経路となり得る、インターネットに接続されたハードウェア、ソフトウェア、クラウド資産を自動的かつ継続的にスキャンして特定します。これらの資産には次のようなものがあります。

  • 既知の資産 -組織が認識しており、積極的に管理しているすべてのITインフラストラクチャーとリソース。ルーター、サーバー、会社支給または個人所有のデバイス(PC、ノートPC、モバイル・デバイス)、IoT(モノのインターネット)デバイス、ユーザー・ディレクトリ、オンプレミスおよびクラウドにデプロイされたアプリケーション、Webサイト、独自のデータベース。

  • 未知の資産 - ITチームやセキュリティー・チームに知られずにネットワーク・リソースを使用している「インベントリ化されていない」資産。シャドーITとは、管理者による正式な承認や監督なしにネットワーク上に導入されたハードウェアやソフトウェアのことで、未知の資産の中で最も一般的な資産です。シャドーITの例としては、個人のウェブサイト、クラウド・アプリケーション、組織のネットワークを使用する管理されていないモバイル・デバイスなどがあります。使用されなくなった古いソフトウェア、ウェブサイト、デバイスが適切に廃棄処理されないままになっている「孤立したIT」もよく見られる未知の資産です。

  • サードパーティまたはベンダーの資産 - 組織の所有ではないが、組織のITインフラストラクチャーまたはデジタルサプライチェーンの一部となっている資産。これらの資産には、組織のWebサイトで使用されているSaaS(Software as a Service)アプリケーション、 API 、パブリッククラウド資産、またはサードパーティのサービスが含まれます。

  • 子会社資産 - 組織の子会社ネットワークに属する、既知、未知、またはサードパーティの資産。合併や買収の後は、親組織のITチームやセキュリティー・チームがこれらの資産をすぐに認識しない可能性があります。

  • 悪意のある資産または不正な資産 - 脅威アクターが企業を標的に作成または盗む資産。これには、企業のブランドを装ったフィッシングWebサイトや、ダークウェブ上で共有されるデータ侵害の一部として盗まれる機密データなどが含まれます。

分類、分析、優先順位付け

資産が特定されると、分類され、脆弱性について分析され、「攻撃可能性」によって優先順位が付けられます。「攻撃可能性」とは、基本的にハッカーがそれらを標的にする可能性を示す客観的な尺度です。

資産は、ID、IPアドレス、所有権、ITインフラストラクチャー内の他の資産との接続にインベントリー化されます。これらに存在している可能性のある脆弱性、その原因(設定ミス、コーディング・エラー、パッチの適用漏れなど)、ハッカーがこれらの脆弱性を悪用して行う可能性のある攻撃の種類(機密データの窃盗、 ランサムウェア やその他の マルウェアの拡散など)について分析されます。

次に、脆弱性の修復に優先順位が付けられます。優先順位付けはリスク評価の作業になります。通常、各脆弱性には、以下の基準に基づいてセキュリティ評価またはリスク・スコアが付けられます。

  • 分類および分析中に収集された情報。

  • 脅威インテリジェンス・フィード(独自およびオープンソース)、セキュリティー評価サービス、ダークウェブ、その他の情報源から取得した、ハッカーにとって脆弱性がどの程度目に付きやすいか、エクスプロイトしやすいか、エクスプロイトされたことがあるかなどに関するデータ。

  • 組織独自の脆弱性管理およびセキュリティー・リスク評価活動の結果。この活動のひとつである「レッド・チーム」と呼ばれるものは、基本的にはハッカーの視点から行うペネトレーション・テストです(多くの場合、社内またはサードパーティの倫理的ハッカーが実施します)。レッドチームは、既知または疑わしい脆弱性をテストするのではなく、ハッカーが悪用を試みる可能性のあるすべての資産をテストします。

修復

通常、脆弱性は優先順位に従って修正されます。これには以下が含まれることがあります。

  • 該当する資産に適切なセキュリティー対策を施すこと。たとえば、ソフトウェアやオペレーティング・システムのパッチを適用する、アプリケーション・コードのデバッグを行う、より強力なデータ暗号化を実施する、など。

  • これまで知られていなかった資産を管理下に置くこと。これまで管理されていなかったITにセキュリティー基準を設定する、孤立したITを安全に廃棄する、不正な資産を排除する、子会社の資産を組織のサイバーセキュリティー戦略、ポリシー、ワークフローに統合すること。

修復には、最小権限のアクセスや多要素認証(MFA)の導入など、脆弱性に対処するためのより広範な、複数の資産にまたがる対策も含まれます。

モニタリング

組織の攻撃対象領域におけるセキュリティー・リスクは、新しい資産が導入されたり、既存の資産が新しい方法で導入されたりするたびに変化するため、ネットワークのインベントリー資産とネットワークそのものを継続的に監視し、脆弱性をスキャンします。継続的な監視により、ASMは新たな脆弱性と攻撃ベクトルをリアルタイムで検知・評価し、即時対処が必要な新たな脆弱性についてはセキュリティ・チームに警告を発することができます。

関連ソリューション
脆弱性管理サービス

最もクリティカルな資産を危険にさらす可能性のある欠陥を特定し、優先順位付けを行い、その修復を管理する脆弱性管理プログラムを導入します。

脆弱性管理サービスの詳細はこちら
参考情報 攻撃領域とは

組織の攻撃対象領域は、サイバーセキュリティー上の脆弱性をまとめたものです。

内部関係者の脅威とは何ですか?

インサイダー脅威は、企業の資産へのアクセスを許可されたユーザーが意図的または偶発的に資産を危険にさらすことで発生します。

ゼロトラストとは何ですか?

ゼロトラスト・アプローチでは、ネットワークの外にいるユーザーもすでにネットワーク内にいるユーザーも、アプリケーションやデータへのアクセス権を取得・維持するために、認証、承認、そして継続的な検証を受ける必要があります。

マルウェアとは何ですか?

マルウェアとは、コンピュータやネットワークに損害を与えたり破壊したり、あるいはコンピュータ、ネットワーク、データへの不正アクセスを行うために作成されたソフトウェア・コードです。

クラウド・セキュリティーとは

クラウド・コンピューティング環境とワークロードをセキュリティーで保護するためのガイド。

データ・セキュリティーとは

データ・セキュリティーとは、デジタル情報をそのライフサイクル全体を通じて盗難、破損、不正アクセスから保護するための取り組みです。

次のステップ

IBMのサイバーセキュリティー・サービスは、アドバイザリー、統合、マネージド・セキュリティー・サービスに加え、攻撃および防御機能を提供します。弊社は、専門家からなるグローバルチームと独自のパートナー・テクノロジーを組み合わせて、リスクを管理するカスタマイズされたセキュリティ・プログラムを共創します。

サイバーセキュリティー・サービスはこちら Thinkニュースレターの購読