ホーム
Topics
アタック・サーフェス・マネジメント(攻撃対象領域管理)とは
攻撃対象領域管理(ASM)とは、組織の攻撃対象領域を構成するサイバーセキュリティーの脆弱性と潜在的な攻撃ベクトルを継続的に検出、分析、優先順序付け、修復、監視することです。
他のサイバーセキュリティー分野とは異なり、ASMは防御側の視点ではなく、完全にハッカー側の視点から行われます。つまり、標的を特定し、悪意のある攻撃者が手にすることになる機会の程度に基づいてリスクを評価します。
ASMは、ハッカーが使用するものと同じ手法やリソースの多くに依存しています。ASMのタスクとテクノロジーの多くは、サイバー犯罪者の行動に精通しており、その行動を模範するスキルに長けた「倫理的ハッカー」によって考案・実行されています。
外部攻撃対象領域管理(EASM)は比較的新しいASMテクノロジーで、ASMと混同して使用されることがあります。しかし、EASMは、特に組織の外部またはインターネットに接続されたIT資産が抱える脆弱性とリスクに焦点を当てています。これは、組織のデジタル攻撃対象領域と呼ばれることもあります。
ASMは、悪意のあるインサイダーやフィッシング詐欺に対する不十分なエンドユーザートレーニングなど、組織の物理的および社会的エンジニアリング上の攻撃対象領域にある脆弱性にも対処します。
最新のデータ侵害コストレポートを使用して、データ侵害のリスクをより適切に管理するためのインサイトを入手します。
近年進んでいるクラウドの利用拡大、デジタル・トランスフォーメーション、リモートワークの拡大により、一般企業のデジタルフットプリントと攻撃対象領域はより広範囲かつ動的なものとなり、企業ネットワークに毎日接続する新たな資産も増加しています。
企業ネットワークがより安定的で集中管理されていた時代に開発された従来の資産検出、リスク評価、脆弱性管理のプロセスでは、今日のネットワークで新たに発生する脆弱性や攻撃ベクトルのスピードに追い付くことができません。たとえば、ペネトレーション・テストでは既知の資産における疑わしい脆弱性をテストすることはできますが、セキュリティー・チームが日々発生する新たなサイバーリスクや脆弱性を特定することはできません。
しかし、ASMの継続的なワークフローとハッカーの視点により、セキュリティー・チームとセキュリティー・オペレーション・センター(SOC)は、常に拡大し、変化し続ける攻撃対象領域に対して、プロアクティブなセキュリティー体制を確立できます。ASMソリューションは脆弱性や攻撃ベクトルが発生した時点で、リアルタイムで可視化します。
脆弱性の分析と優先順位付けを行う際には、従来のリスク評価や脆弱性管理ツールやプロセスから得られる情報を活用し、より詳細な状況把握を行うことができます。また、SIEM(セキュリティー情報とイベント管理)、EDR(エンドポイントの検出と対応)、XDR(拡張検知と対応)などの脅威検知と対応のテクノロジーと統合し、脅威の緩和と全社的な脅威対応を迅速化できます。
ASMは、資産の検出、分類と優先順位付け、修復と監視という4つのコア・プロセスで構成されています。繰り返しになりますが、デジタル攻撃対象領域の規模と形状は常に変化しているため、プロセスは継続的に実施され、ASMソリューションは可能な限りこれらのプロセスを自動化します。ここでの狙いは、公開されている資産の完全な最新インベントリーをセキュリティー・チームに提供し、組織にとって最大のリスクとなる脆弱性や脅威への対応を加速させることです。
資産の検出
資産の検出では、組織への攻撃を試みるハッカーやサイバー犯罪者の侵入経路となり得る、インターネットに接続されたハードウェア、ソフトウェア、クラウド資産を自動的かつ継続的にスキャンして特定します。これらの資産には次のようなものがあります。
分類、分析、優先順位付け
資産が特定されると、分類され、脆弱性について分析され、「攻撃可能性」によって優先順位が付けられます。「攻撃可能性」とは、基本的にハッカーがそれらを標的にする可能性を示す客観的な尺度です。
資産は、ID、IPアドレス、所有権、ITインフラストラクチャー内の他の資産との接続にインベントリー化されます。これらに存在している可能性のある脆弱性、その原因(設定ミス、コーディング・エラー、パッチの適用漏れなど)、ハッカーがこれらの脆弱性を悪用して行う可能性のある攻撃の種類(機密データの窃盗、 ランサムウェア やその他の マルウェアの拡散など)について分析されます。
次に、脆弱性の修復に優先順位が付けられます。優先順位付けはリスク評価の作業になります。通常、各脆弱性には、以下の基準に基づいてセキュリティ評価またはリスク・スコアが付けられます。
修復
通常、脆弱性は優先順位に従って修正されます。これには以下が含まれることがあります。
修復には、最小権限のアクセスや多要素認証(MFA)の導入など、脆弱性に対処するためのより広範な、複数の資産にまたがる対策も含まれます。
モニタリング
組織の攻撃対象領域におけるセキュリティー・リスクは、新しい資産が導入されたり、既存の資産が新しい方法で導入されたりするたびに変化するため、ネットワークのインベントリー資産とネットワークそのものを継続的に監視し、脆弱性をスキャンします。継続的な監視により、ASMは新たな脆弱性と攻撃ベクトルをリアルタイムで検知・評価し、即時対処が必要な新たな脆弱性についてはセキュリティ・チームに警告を発することができます。
最もクリティカルな資産を危険にさらす可能性のある欠陥を特定し、優先順位付けを行い、その修復を管理する脆弱性管理プログラムを導入します。
組織の攻撃対象領域は、サイバーセキュリティー上の脆弱性をまとめたものです。
インサイダー脅威は、企業の資産へのアクセスを許可されたユーザーが意図的または偶発的に資産を危険にさらすことで発生します。
ゼロトラスト・アプローチでは、ネットワークの外にいるユーザーもすでにネットワーク内にいるユーザーも、アプリケーションやデータへのアクセス権を取得・維持するために、認証、承認、そして継続的な検証を受ける必要があります。
マルウェアとは、コンピュータやネットワークに損害を与えたり破壊したり、あるいはコンピュータ、ネットワーク、データへの不正アクセスを行うために作成されたソフトウェア・コードです。
クラウド・コンピューティング環境とワークロードをセキュリティーで保護するためのガイド。
データ・セキュリティーとは、デジタル情報をそのライフサイクル全体を通じて盗難、破損、不正アクセスから保護するための取り組みです。