アタック・サーフェス・マネジメント(攻撃対象領域管理)とは
アタック・サーフェス・マネジメントとは、企業や組織がサイバー攻撃の対象となりうるIT資産や攻撃経路を把握・管理する取り組みや技術です。
サイバー・レジリエンスの向上に寄与する攻撃型セキュリティー製品
オフィス・デスクに座り、ノートPCを使用する人
アタック・サーフェス・マネージメントとは

アタック・サーフェス・マネジメント(Attack Surface Management 以下、略称の「ASM」で記述)とは、企業や組織がサイバー攻撃の対象となりうるアタック・サーフェス(IT資産や攻撃経路)を把握・管理する取り組みや技術です。 緊急性と重要度を加味したアタック・サーフェスに対する優先順位付けが、 ASMの重要なポイントととなります。ASMは、攻撃対象領域管理と記述する場合もあります。

ASMは攻撃者の視点から実行されます。攻撃対象ごとに、攻撃者が悪用できる可能性がある侵入経路を特定して、リスクを評価します。個々のASMのタスクは、サイバー犯罪者の行動に精通した「エシカル・ハッカー(ホワイト・ハッカー)」によって考案され、攻撃者と同じ手法とリソースを使用して実行されます。

ASMと同義で用いられることがあるEASM(External Attack Surface Management)は、外部に公開されているデジタル資産の脆弱性とリスクに焦点を当てるものです。企業や組織内に悪意を持つ関係者が存在する場合や、適切なセキュリティー研修が行われていない場合、ASMはフィッシング攻撃とソーシャル・エンジニアリング攻撃のアタック・サーフェスの脆弱性にも対応します。
アタック・サーフェス・マネージメントが注目される理由

クラウド・コンピューティングの採用やDXにおけるデジタライゼーションの推進などによって、ネットワークに接続する新たな資産を使用するようになりました。その結果、企業や組織におけるデジタル・フットプリントとアタック・サーフェスは拡大・分散し、ダイナミックなものになりました。

2022年に実施された調査「State of Attack Surface Management 2022」によると、過去12カ月で67%の企業や組織にアタック・サーフェスの拡大が見られました。そして、過去1年間で69%の企業や組織が、管理が不十分な資産や不明な資産を攻撃経路としてサイバー犯罪者に侵害されています。また、ITアドバイザリー企業であるGartner社は、「2022年のセキュリティ/リスク・マネジメントのトップ・トレンド」(ibm.com外部へのリンク)で、CISO(最高情報セキュリティ責任者)向けに2022年の優先事項として、より広範囲にわたってセキュリティー・リスクを管理する必要があると述べています。さらに、「2023年のサイバーセキュリティのトップ・トレンド」(ibm.com外部へのリンク)では、脅威エクスポージャー管理(Continuous Threat Exposure Management。略称、CTEM)を実施することで、CISOは脅威にさらされている範囲を理解・評価する必要があると述べています。

従来のアセット・ディスカバリー(ネットワークに接続しているIT資産を検出と詳細情報の抽出)、リスク評価、脆弱性管理プロセスは、企業や組織のネットワークが今よりも安定して一元化されていたときに開発されたものです。したがって、新たな脆弱性や攻撃ベクトルが発生する現在のネットワークのスピードへの追随は難しくなっています。 例えば、ペネトレーション・テスト(攻撃者と同じ手法でシステムへの侵入を試みるテスト)は、既知の資産の疑わしい脆弱性についてはテストできますが、日々発生している新しいサイバー・リスクや脆弱性の特定には役に立ちません。

しかし、セキュリティー・チームとSOC(セキュリティー・オペレーション・センター)が、ASMのワークフローを継続的に実施するとともにサイバー犯罪者の視点を持つことで、絶えず拡大し変化するアタック・サーフェースに直面した際に、事前対応型のセキュリティー態勢が確立できます。ASMのためのソリューションは、脆弱性や攻撃ベクトルが出現した際にリアルタイムで可視化します。そして、脆弱性を分析して対応の優先順位付けをする際に、従来のリスク管理と脆弱性管理のツールとプロセスの情報を使用して、より多くのコンテキストを収集できます。また、ASMのためのソリューションは、

ASMソリューションは、脆弱性と攻撃ベクトルが出現したときにリアルタイムでこれらの可視性を提供します。ASMソリューションは、脆弱性を分析し優先順位付けする際に、より多くのコンテキストを得るために、従来のリスク管理と脆弱性管理のツールとプロセスの情報を使用できます。また、SIEM(セキュリティー情報とイベント管理)EDR(エンドポイントでの検知と対応)、XDR(拡張型検知と対応)といった脅威の検出と対応のためのテクノロジーと統合することで、脅威の軽減を推進するとともに、脅威への対応を迅速化できます。
ASMの仕組み

ASMは、アセット・ディスカバリー、分類と優先順位付け、修正、モニタリングの4つのコア・プロセスで構成されています。デジタルのアタック・サーフェスのサイズと形状は絶えず変化しているため、プロセスは継続的に実行され、ASMソリューションはいつでも可能な限りこれらのプロセスを自動化します。目標は、セキュリティー・チームが常に公開されている資産に対して現状のインベントリーを完全に保有していることを確認し、組織にとって最大のリスクとなる脆弱性と脅威への対応を加速することです。

アセット・ディスカバリー
アセット・ディスカバリーは、組織を攻撃しようとしているハッカー、またはサイバー犯罪者のエントリー・ポイントになると思われるインターネットに対応したハードウェア、ソフトウェア、クラウド資産を自動的かつ継続的にスキャンし、特定します。これらの資産には以下が含まれます。

  • 既知の資産—組織が認識し積極的に管理しているITインフラストラクチャーとリソースすべて。ルーター、サーバー、企業発行または個人所有のデバイス(PC、ノートPC、モバイル・デバイス)、IoTデバイス、ユーザー・ディレクトリー、オンプレミスおよびクラウド、Webサイト、プロプラエタリー・データベースにデプロイされているアプリケーション。

  • 不明な資産— ITの知識またはセキュリティー・チームの知識が無い状態でネットワーク・リソースを使用しているインベントリー管理されていない資産。シャドーITは、公式な運営管理の承認および/または監視の無い状態でネットワーク上にデプロイされているハードウェアまたはソフトウェアで、不明な資産の最も一般的なタイプです。組織のネットワークを介して使用される、ユーザーのコンピューターにダウンロードされたフリー・フォント、個人のWebサイト、クラウド・アプリケーション、および企業情報にアクセスするために使用される管理されていない個人のモバイル・デバイスなどはすべてシャドーITの例です。孤立ITは、もはや使用されることはないが適切に廃止されていない古いソフトウェア、Webサイト、デバイスで、不明な資産のもう1つの典型的なタイプです。

  • サード・パーティーの資産またはベンダーの資産—組織が所有しない資産であるが、その資産が組織のITインフラストラクチャーまたはデジタル・サプライチェーンの一部となっているもの。これには、Software-as-a-Service(SaaS)アプリケーション、API、パブリッククラウド資産、または組織のWebサイト内で使用されるサード・パーティー・サービスが含まれます。

  • 子会社の資産—組織の子会社のネットワークに属する既知の資産、不明な資産、またはサード・パーティーの資産。合併または買収の後、親会社のITチームやセキュリティー・チームはこれらの資産に迅速に目を向けない可能性があります。

  • 悪意のある資産または不良資産—企業をターゲットにした脅威アクターによって作成された、または盗まれた資産。これは、企業のブランドになりすましたフィッシングWebサイト、またはダーク・ウェブ上で共有されているデータ侵害の一部としての盗まれた機密データが含まれます。

分類、分析、優先順位付け
資産は特定されると、分類され、脆弱性の分析と「攻撃性」(これは、ハッカーがその資産をどれくらいターゲットにする可能性があるかという客観的尺度である)による優先順位が付けが行われます。

資産は、ID、IPアドレス、所有権、およびITインフラストラクチャーの他の資産への接続によってインベントリー管理されます。資産内に含まれる可能性のあるエクスポージャー、エクスポージャーの原因(例:構成ミス、コード・エラー、パッチの欠落)、およびハッカーがこれらのエクスポージャーを介して実行する可能性のある攻撃の種類(例:機密データの盗難、ランサムウェアの拡大、またはその他マルウェア)を調査するために資産が分析されます。

次に、修正する脆弱性に優先順位付けが行われます。優先順位付けはリスク管理評価を行使することです。通常、各脆弱性に対しては、以下に基づいてセキュリティーの格付けとリスクのスコア付けが行われます。

  • 分類と分析のプロセス中に集められた情報。

  • ハッカーにとっての脆弱性の可視性はどの程度か、どれくらい容易に悪用できるか、どのように悪用されてきたのかに関する、脅威インテリジェンス・フィード(プロプラエタリーおよびオープンソース)、セキュリティー格付けサービス、ダークウェブ、その他のソースからのデータ。

  • 組織が所有する脆弱性管理とセキュリティー・リスク評価活動の成果。レッド・チームと呼ばれるこのような活動の1つは、本質的にはハッカーの視点でのペネトレーション・テスト(多くの場合、社内またはサード・パーティーのエシカル・ハッカーによって実施)です。既知の脆弱性または疑わしい脆弱性をテストする代わりに、レッド・チームはハッカーが悪用する可能性のある資産をすべてテストします。

修正
通常、脆弱性は優先順位に従って修正されます。これには以下が含まれます。

  • 問題となっている資産に対して適切なセキュリティー制御を適用。例えば、ソフトウェアまたはオペレーティング・システムのパッチの適用、アプリケーション・コードのデバッグ、より強いデータ暗号化の実装します。

  • 以前は不明な資産であったものを管理下に置く。以前は管理されていなかったITにセキュリティー設定の標準を導入し、孤立ITを安全に廃止し、不良資産を除去し、子会社の資産を組織のサイバーセキュリティーの戦略、ポリシー。ワークフローに統合します。

修正には、最小特権アクセス、または多要素認証(MFA)など、脆弱性に対処するためのより広範で資産タイプの垣根をこえた措置が含まれる場合があります。

モニタリング
組織のアタック・サーフェスのセキュリティー・リスクは変化するため、新しい資産がデプロイされる、または既存の資産が新しい方法でデプロイされるたびに、インベントリー管理されたネットワーク資産とネットワーク自体の両方が継続的に監視され、脆弱性がないかスキャンされます。継続的に監視することで、ASMはリアルタイムで新しい脆弱性と攻撃ベクトルを検出して評価し、早急に対応が必要なあらゆる新しい脆弱性に対してセキュリティー・チームにアラートを通知します。
関連ソリューション
IBM Security Randori Recon

お客様のデジタル・フットプリントの拡張を管理し、偽陽性の数を減らして目標を設定し、組織のサイバー・レジリエンスを迅速に向上させます。

 Randori Reconの詳細はこちら
脆弱性管理サービス

最も重要な資産を無防備なものにしてしまう可能性がある欠陥を特定し、その欠陥の修正について優先順位を付けて管理します。

脆弱性管理サービスの詳細はこちら
参考情報 アタック・サーフェスとは

組織のアタック・サーフェスは、その組織のサイバーセキュリティーの脆弱性を総括したものです。

 内部脅威とは

内部脅威は、企業の資産にアクセスすることを許可されているユーザーが、故意に、または偶発的にその資産を侵害した時に発生します。

 ゼロトラストとは

ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。

 マルウェアとは

マルウェアは、コンピューターやネットワークに損害を与えたり破壊するために、またはコンピューター、ネットワーク、あるいはデータへの不正アクセスを提供するために書かれたソフトウェア・コードのことです。

 クラウド・セキュリティーとは

クラウド・コンピューティング環境とワークロードを保護するためのガイドです。

 データ・セキュリティーとは

データ・セキュリティーは、デジタル情報を盗難、汚染、 またはそのライフサイクル全体にわたる不正アクセスから保護するためのプラクティスです。
次のステップ

組織はこれまで組織の管理対象となる資産に対し、既知の脆弱性の検出と修正については適切に対処してきました。しかし、急速なハイブリッドクラウド・モデルの採用とリモート・ワーカーを永続的にサポートしなければならなくなったことにより、セキュリティー・チームにとってエンタープライズなアタック・サーフェスの拡大を管理するのがさらに難しくなっています。IBM Security Randori Reconでは、シャドーITを発見するために継続的かつ正確なディスカバリー・プロセスを使用し、攻撃者の意図に基づき相関付けされた実際の検出結果によって、お客様が迅速に目標を定められるようにします。合理化されたワークフローにより、お客様の既存のセキュリティー・エコシステムとの統合を通じて、全体的なレジリエンスを向上させます。

 Randori Reconの詳細はこちら