攻撃対象領域管理とは
攻撃対象領域管理は、組織がサイバー攻撃に対する脆弱性を発見し、優先順位を付け、評価し、修復するのに役立ちます。
オフィス・デスクに座り、ノートPCを使用する人
攻撃対象領域管理とは

攻撃対象領域管理(ASM)とは、組織の攻撃対象領域を構成するサイバーセキュリティーの脆弱性と潜在的な攻撃ベクトルを継続的に検出、分析、修正、モニタリングすることです。

他のサイバーセキュリティーの分野とは異なり、ASMは、防御側の視点からではなく、完全にハッカーの視点から実行されます。 ターゲットを特定し、悪意のある攻撃者に与える好機となるリスクを評価します。 ASMは、ハッカーが使用するのと同じ多くの手法とリソースを使用しており、多くのASMタスクとテクノロジーは、サイバー犯罪者の行動に精通し、サイバー犯罪者の行動の複製に熟練した「エシカル・ハッカー」によって考案され、そして実行されます。

外部攻撃対象領域管理(EASM)は、比較的新しいASMテクノロジーで、ASMと同じ意味で使用されることもあります。 ただし、EASMは、主に、組織の外部またはインターネット向けIT資産(組織のデジタル攻撃対象領域と呼ばれることもある)に見られる脆弱性とリスクに焦点を当てます。 ASMは、悪意のある内部関係者が存在する場合、またはフィッシング詐欺に対して適切なエンド・ユーザー研修が行われていない場合など、組織のフィッシング攻撃対象領域とソーシャル・エンジニアリング攻撃対象領域の脆弱性にも対処します。
組織が攻撃対象領域管理に注目している理由

クラウドの採用、デジタル・トランスフォーメーション、リモート・ワークの拡大はすべて、新型コロナウイルス感染症のパンデミックにより加速されることになりましたが、日々、企業のネットワークに接続する新しい資産を使用することで、企業の平均的なデジタル・フットプリントと攻撃対象領域が拡大され、より分散され、よりダイナミックなものになりました。

Randori社の2022年攻撃対象領域管理 調査(英語)(ibm.com外部へのリンク)によると、過去12カ月で組織の67%に攻撃対象領域の拡大が見られ、69%の組織が過去1年間で、インターネット経由でアクセスが可能な不明な資産、または管理が不十分な資産により侵害されています。 (Randori社はIBMの子会社です。)Gartner社の業界アナリスト(英語)(ibm.com外部へのリンク)は、CISO向けに、攻撃対象領域の拡大に対する優れたセキュリティーとリスク管理を2022年の優先事項として挙げています。

従来のアセット・ディスカバリー、リスク評価、脆弱性管理プロセスは、企業のネットワークが今よりも安定して一元化されていたときに開発されたもので、現在のネットワークにおける新たな脆弱性や攻撃ベクトルが発生するスピードには追いつけなくなっています。 例えば、ペネトレーション・テストは、既知の資産の疑わしい脆弱性についてはテストできますが、日々発生している新しいサイバー・リスクや脆弱性をセキュリティー・チームが特定するのには役に立ちません。

しかし、ASMの継続的なワークフローとハッカーの視点を持つことで、セキュリティー・チームとセキュリティー・オペレーション・センター(SOC)は、絶えず拡大しその形状を変化させている攻撃対象領域に直面した場合に、事前対応型のセキュリティー態勢を確立できるようになります。 ASMソリューションは、脆弱性と攻撃ベクトルが出現したときにリアルタイムでこれらの可視性を提供します。 ASMソリューションは、脆弱性を分析し優先順位付けする際に、より多くのコンテキストを得るために、従来のリスク管理と脆弱性管理のツールとプロセスの情報を使用できます。 また、セキュリティー情報とイベント管理(SIEM)およびエンドポイントでの検知と対応(EDR)、または拡張型の検知と対応(XDR)などの脅威の検出および対応のためのテクノロジーと統合して、企業全体で脅威の軽減を促進し、脅威への対応を加速できます。
ASMの仕組み

ASMは、アセット・ディスカバリー、分類と優先順位付け、修正、モニタリングの4つのコア・プロセスで構成されています。 デジタルの攻撃対象領域のサイズと形状は絶えず変化しているため、プロセスは継続的に実行され、ASMソリューションはいつでも可能な限りこれらのプロセスを自動化します。 目標は、セキュリティー・チームが常に公開されている資産に対して現状のインベントリーを完全に保有していることを確認し、組織にとって最大のリスクとなる脆弱性と脅威への対応を加速することです。

アセット・ディスカバリー

アセット・ディスカバリーは、組織を攻撃しようとしているハッカー、またはサイバー犯罪者のエントリー・ポイントになると思われるインターネットに対応したハードウェア、ソフトウェア、クラウド資産を自動的かつ継続的にスキャンし、特定します。 これらの資産には以下が含まれます。

  • 既知の資産—組織が認識し積極的に管理しているITインフラストラクチャーとリソースすべて。ルーター、サーバー、企業発行または個人所有のデバイス(PC、ノートPC、モバイル・デバイス)、IoTデバイス、ユーザー・ディレクトリー、オンプレミスおよびクラウド、Webサイト、プロプラエタリー・データベースにデプロイされているアプリケーション。

  • 不明な資産— ITの知識またはセキュリティー・チームの知識が無い状態でネットワーク・リソースを使用しているインベントリー管理されていない資産。 シャドーITは、公式な運営管理の承認および/または監視の無い状態でネットワーク上にデプロイされているハードウェアまたはソフトウェアで、不明な資産の最も一般的なタイプです。 組織のネットワークを介して使用される、ユーザーのコンピューターにダウンロードされたフリー・フォント、個人のWebサイト、クラウド・アプリケーション、および企業情報にアクセスするために使用される管理されていない個人のモバイル・デバイスなどはすべてシャドーITの例です。 孤立ITは、もはや使用されることはないが適切に廃止されていない古いソフトウェア、Webサイト、デバイスで、不明な資産のもう1つの典型的なタイプです。

  • サード・パーティーの資産またはベンダーの資産—組織が所有しない資産であるが、その資産が組織のITインフラストラクチャーまたはデジタル・サプライチェーンの一部となっているもの。 これには、Software-as-a-Service(SaaS)アプリケーション、API、パブリッククラウド資産、または組織のWebサイト内で使用されるサード・パーティー・サービスが含まれます。

  • 子会社の資産—組織の子会社のネットワークに属する既知の資産、不明な資産、またはサード・パーティーの資産。 合併または買収の後、親会社のITチームやセキュリティー・チームはこれらの資産に迅速に目を向けない可能性があります。

  • 悪意のある資産または不良資産—企業をターゲットにした脅威アクターによって作成された、または盗まれた資産。 これは、企業のブランドになりすましたフィッシングWebサイト、またはダーク・ウェブ上で共有されているデータ侵害の一部としての盗まれた機密データが含まれます。

分類、分析、優先順位付け

資産は特定されると、分類され、脆弱性の分析と「攻撃性」(これは、ハッカーがその資産をどれくらいターゲットにする可能性があるかという客観的尺度である)による優先順位が付けが行われます。

資産は、ID、IPアドレス、所有権、およびITインフラストラクチャーの他の資産への接続によってインベントリー管理されます。 資産内に含まれる可能性のあるエクスポージャー、エクスポージャーの原因(例:構成ミス、コード・エラー、パッチの欠落)、およびハッカーがこれらのエクスポージャーを介して実行する可能性のある攻撃の種類(例:機密データの盗難、ランサムウェアの拡大、またはその他マルウェア)を調査するために資産が分析されます。 

次に、修正する脆弱性に優先順位付けが行われます。 優先順位付けはリスク管理評価を行使することです。通常、各脆弱性に対しては、以下に基づいてセキュリティーの格付けとリスクのスコア付けが行われます。

  • 分類と分析のプロセス中に集められた情報。

  • ハッカーにとっての脆弱性の可視性はどの程度か、どれくらい容易に悪用できるか、どのように悪用されてきたのかに関する、脅威インテリジェンス・フィード(プロプラエタリーおよびオープンソース)、セキュリティー格付けサービス、ダークウェブ、その他のソースからのデータ。

  • 組織が所有する脆弱性管理とセキュリティー・リスク評価活動の成果。 レッド・チームと呼ばれるこのような活動の1つは、本質的にはハッカーの視点でのペネトレーション・テスト(多くの場合、社内またはサード・パーティーのエシカル・ハッカーによって実施)です。 既知の脆弱性または疑わしい脆弱性をテストする代わりに、レッド・チームはハッカーが悪用する可能性のある資産をすべてテストします。

修正

通常、脆弱性は優先順位に従って修正されます。 これには以下が含まれます。

  • 問題となっている資産に対して適切なセキュリティー制御を適用。例えば、ソフトウェアまたはオペレーティング・システムのパッチの適用、アプリケーション・コードのデバッグ、より強いデータ暗号化の実装します。

  • 以前は不明な資産であったものを管理下に置く。以前は管理されていなかったITにセキュリティー設定の標準を導入し、孤立ITを安全に廃止し、不良資産を除去し、子会社の資産を組織のサイバーセキュリティーの戦略、ポリシー。ワークフローに統合します。

修正には、最小特権アクセス、または多要素認証(MFA)など、脆弱性に対処するためのより広範で資産タイプの垣根をこえた措置が含まれる場合があります。

モニタリング

組織の攻撃対象領域のセキュリティー・リスクは変化するため、新しい資産がデプロイされる、または既存の資産が新しい方法でデプロイされるたびに、インベントリー管理されたネットワーク資産とネットワーク自体の両方が継続的に監視され、脆弱性がないかスキャンされます。 継続的に監視することで、ASMはリアルタイムで新しい脆弱性と攻撃ベクトルを検出して評価し、早急に対応が必要なあらゆる新しい脆弱性に対してセキュリティー・チームにアラートを通知します。
関連ソリューション
IBM Security Randori Recon

お客様のデジタル・フットプリントの拡張を管理し、偽陽性の数を減らして目標を設定し、組織のサイバー・レジリエンスを迅速に向上させます。

Randori Reconの詳細はこちら
IBM Security QRadar® XDR Connect

お客様のツールを接続し、セキュリティー・オペレーション・センター(SOC)を自動化することによって空いた時間を、最も重要な事柄に費やせるようになります。

QRadar XDR Connectの詳細はこちら
脆弱性管理サービス

最も重要な資産を無防備なものにしてしまう可能性がある欠陥を特定し、その欠陥の修正について優先順位を付けて管理します。

脆弱性管理サービスの詳細はこちら
参考情報 攻撃対象領域とは
組織の攻撃対象領域は、その組織のサイバーセキュリティーの脆弱性を総括したものです。
 内部脅威とは
内部脅威は、企業の資産にアクセスすることを許可されているユーザーが、故意に、または偶発的にその資産を侵害した時に発生します。
 ゼロトラストとは
ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。
 マルウェアとは
マルウェアは、コンピューターやネットワークに損害を与えたり破壊するために、またはコンピューター、ネットワーク、あるいはデータへの不正アクセスを提供するために書かれたソフトウェア・コードのことです。
 クラウド・セキュリティーとは
クラウド・コンピューティング環境とワークロードを保護するためのガイドです。
 データ・セキュリティーとは
データ・セキュリティーは、デジタル情報を盗難、汚染、 またはそのライフサイクル全体にわたる不正アクセスから保護するためのプラクティスです。
次のステップ

組織はこれまで組織の管理対象となる資産に対し、既知の脆弱性の検出と修正については適切に対処してきました。 しかし、急速なハイブリッドクラウド・モデルの採用とリモート・ワーカーを永続的にサポートしなければならなくなったことにより、セキュリティー・チームにとってエンタープライズの攻撃対象領域の拡大を管理するのがさらに難しくなっています。IBM Security Randori Reconでは、シャドーITを発見するために継続的かつ正確なディスカバリー・プロセスを使用し、攻撃者の意図に基づき相関付けされた実際の検出結果によって、お客様が迅速に目標を定められるようにします。 合理化されたワークフローにより、お客様の既存のセキュリティー・エコシステムとの統合を通じて、全体的なレジリエンスを向上させます。

Randori Reconの詳細はこちら