攻撃対象領域管理とは

攻撃対象領域管理は、組織がサイバー攻撃に対する脆弱性を検出、優先順位付け、評価、修正するのに役立ちます。

オフィス・デスクに座り、ノートPCを使用する人
攻撃対象領域管理とは

攻撃対象領域管理(ASM)とは、組織の攻撃対象領域を構成するサイバーセキュリティーの脆弱性と潜在的な攻撃ベクトルを継続的に検出、分析、修正、監視することです。

他のサイバーセキュリティー分野と異なり、ASMは、防御側の視点からではなく、完全にハッカーの視点から実行されます。 ターゲットを特定し、悪意のある攻撃者に見られる機会に基づきリスクを評価します。 ASMは、ハッカーが使用するのと同じ多くの手法とリソースを使用しており、多くのASMタスクとテクノロジーは、サイバー犯罪者の行動に精通し、サイバー犯罪者の行動の複製に熟練した「エシカル・ハッカー」によって考案および実行されます。

外部攻撃対象領域管理(ESAM)は、比較的新しいASMテクノロジーで、ASMと同じ意味で使用されることもあります。 ただし、EASMは、組織の外部またはインターネット向けIT資産(組織のデジタル攻撃対象領域と呼ばれることもある)に見られる脆弱性とリスクに特に焦点を当てます。 ASMは、悪意のある内部関係者が存在する場合、またはフィッシング詐欺に対して適切なエンドユーザー研修が行われていない場合など、組織のフィッシング攻撃対象領域とソーシャル・エンジニアリング攻撃対象領域の脆弱性にも対処します。


組織が攻撃対象領域管理に注目している理由

クラウドの採用、デジタル・トランスフォーメーション、リモート・ワークの拡大はすべて、新型コロナウイルス感染症のパンデミックにより加速されることになりましたが、日々企業のネットワークに接続する新しい資産を使用することで、企業の平均的なデジタル・フットプリントと攻撃対象領域が拡大され、より分散され、よりダイナミックなものになりました。

Randori社の2022年攻撃対象領域管理調査 (ibm.com外部へのリンク)によると、過去12カ月で組織の67%に攻撃対象領域の拡大が見られ、69%の組織が過去1年間でインターネット対応の不明な資産、またはインターネット対応の管理が不十分な資産により侵害されています。 (Randori社はIBMの子会社です。) Gartner社の業界アナリスト (ibm.com外部へのリンク)は、CISO向けに、攻撃対象領域の拡大に対する優れたセキュリティーとリスク管理を2022年の優先事項として挙げています。

従来のアセット・ディスカバリー、リスク評価、脆弱性管理プロセスは、企業のネットワークが今よりも安定して一元化されていたときに開発されたもので、現在のネットワークにおける新たな脆弱性と攻撃ベクトルが発生するスピードには追いつけなくなっています。 例えば、ペネトレーション・テストは、既知の資産の疑わしい脆弱性についてはテストできますが、日々発生している新しいサイバー・リスクや脆弱性をセキュリティー・チームが特定するのには役立ちません。

しかし、ASMの継続的なワークフローとハッカーの視点を持つことで、セキュリティー・チームとセキュリティー・オペレーション・センター(SOC)が絶えず拡大し形状を変化させている攻撃対象領域に直面した場合に事前対応型のセキュリティー態勢を確立できるようになります。 ASMソリューションは、脆弱性と攻撃ベクトルが出現したときにリアルタイムでこれらの可視性を提供します。 ASMソリューションは、脆弱性を分析し優先順位付けする際に、より多くのコンテキストを得るために、従来のリスク管理と脆弱性管理のツールとプロセスの情報を使用できます。 また、セキュリティー情報とイベント管理(SIEM)およびエンドポイントの検出と対応(EDR)または拡張検出および応答(XDR)などの脅威の検出と対応のためのテクノロジーと統合し、企業全体で脅威の緩和を促進し、脅威対応を加速できます。


ASMの仕組み

ASMは、アセット・ディスカバリー、分類と優先順位付け、修正、監視の4つのコア・プロセスで構成されています。 デジタルの攻撃対象領域のサイズと形状は絶えず変化しているため、プロセスは継続的に実行され、ASMソリューションはいつでも可能な限りこれらのプロセスを自動化します。 目標は、セキュリティー・チームが常に公開されている資産に対して現状のインベントリーを完全に保有していることを確認し、組織にとって最大のリスクとなる脆弱性と脅威への対応を加速することです。

アセット・ディスカバリー

アセット・ディスカバリーは、組織を攻撃しようとしているハッカー、またはサイバー犯罪者のエントリー・ポイントになると思われるインターネットに対応したハードウェア、ソフトウェア、クラウド資産を自動的かつ継続的にスキャンし、特定します。 これらの資産には以下が含まれます。

  • 既知の資産—組織が認識し積極的に管理しているITインフラストラクチャーとリソースすべて。ルーター、サーバー、企業発行または個人所有のデバイス(PC、ノートPC、モバイル・デバイス)、IoTデバイス、ユーザー・ディレクトリー、オンプレミスおよびクラウド、ウェブサイト、プロプラエタリー・データベースにデプロイされているアプリケーション。
  • 不明な資産— ITの知識またはセキュリティー・チームの知識が無い状態でネットワーク・リソースを使用しているインベントリー管理されていない資産。 シャドー IT—公式な運営管理の承認および/または監視の無い状態でネット―上にデプロイされているハードウェアは、不明な資産の最も一般的なタイプです。 組織のネットワークを介して使用される、ユーザーのコンピュータにダウンロードされたフリー・フォント、個人のWebサイト、クラウド・アプリケーション、および企業情報にアクセスするために使用される管理されていない個人のモバイル・デバイスなどはすべてシャドーITの例です。 孤立IT—もはや使用されることはないが適切に廃止されていない古いソフトウェア、Webサイト、デバイスは、不明な資産のもう1つの典型的なタイプです。
  • サード・パーティーの資産またはベンダーの資産—組織が所有しない資産であるが、その資産が組織のITインフラストラクチャーまたはデジタル・サプライチェーンの一部となっています。 これには、ソフトウェア・アズ・ア・サービス(SaaS)アプリケーション、API 、パブリッククラウド資産、または組織のWebサイト内で使用されるサード・パーティー・サービスが含まれます。
  • 子会社の資産—組織の子会社のネットワークに属する既知の資産、不明な資産、またはサード・パーティーの資産です。 合併または買収の後、親会社のITチームやセキュリティー・チームはこれらの資産に迅速に目を向けない可能性があります。
  • 悪意のある資産または不良資産—企業をターゲットにした脅威アクターによって作成された、または盗まれた資産。 これは、企業のブランドになりすましたフィッシングWebサイト、またはダーク・ウェブ上で共有されているデータ漏えいの一部としての盗まれた機密データが含まれます。

分類、分析、優先順位付け

資産は特定されると、分類され、脆弱性の分析と「攻撃性」(これは、ハッカーがその資産をどれくらいターゲットにする可能性があるかという客観的尺度である)による優先順位が付けが行われます。

資産は、ID、IPアドレス、所有権、およびITインフラストラクチャーの他の資産への接続によってインベントリー管理されます。 資産内に含まれる可能性のあるエクスポージャー、エクスポージャーの原因(例:構成ミス、コード・エラー、パッチの欠落)、およびハッカーがこれらのエクスポージャーを介して実行する可能性のある攻撃の種類(例:機密データの盗難、ランサムウェアの拡大、またはその他マルウェア)を調査するために資産が分析されます。 

次に、修正する脆弱性に優先順位付けが行われます。 優先順位付けはリスク管理評価を行使することです。通常、各脆弱性に対しては、以下に基づいてセキュリティーの格付けとリスクのスコア付けが行われます。

  • 分類と分析のプロセス中に集められた情報。
  • ハッカーにとっての脆弱性の可視性はどの程度か、どれくらい容易に悪用できるか、どのように悪用されてきたのかに関する、脅威インテリジェンス・フィード(プロプラエタリー・オープン・ソース)、セキュリティー格付けサービス、ダークウェブ、その他のソースからのデータ。
  • 組織が所有する脆弱性管理とセキュリティー・リスク評価活動の成果。 レッド・チームと呼ばれるこのような活動の1つは、本質的にはハッカーの視点でのペネトレーション・テスト(多くの場合、社内またはサード・パーティーのエシカル・ハッカーによって実施)です。 既知の脆弱性または疑わしい脆弱性をテストする代わりに、レッド・チームはハッカーが悪用する可能性のある資産をすべてテストします。

修正

通常、脆弱性は優先順位に基づいて修正されます。 これには以下が含まれます。

  • 問題となっている資産に対して適切なセキュリティー制御を適用。例えば、ソフトウェアまたはオペレーティング・システムのパッチの適用、アプリケーション・コードのデバッグ、より強いデータ暗号化の実装
  • 以前は不明な資産であったものを管理下に置く。以前は管理されていなかったITにセキュリティー設定の標準を導入し、孤立ITを安全に廃止し、不良資産を除去し、子会社の資産を組織のサイバーセキュリティーの戦略、ポリシー。ワークフローに統合する。

修正には、最小特権アクセス、または多要素認証(MFA)など、脆弱性に対処するためのより広範で資産の垣根をこえた措置が含まれる場合があります。

監視

組織の攻撃対象領域のセキュリティー・リスクは変化するため、新しい資産がデプロイされる、または既存の資産が新しい方法でデプロイされるたびに、インベントリー管理されたネットワーク資産とネットワーク自体の両方が継続的に監視され、脆弱性がないかスキャンされます。 継続的に監視することで、ASMはリアルタイムで新しい脆弱性と攻撃ベクトルを検出して評価し、早急に対応が必要なあらゆる新しい脆弱性に対してセキュリティー・チームにアラートを通知します。


関連ソリューション


参考情報