アタック・サーフェス・マネジメント(Attack Surface Management 以下、略称の「ASM」で記述)とは、企業や組織がサイバー攻撃の対象となりうるアタック・サーフェス(IT資産や攻撃経路)を把握・管理する取り組みや技術です。 緊急性と重要度を加味したアタック・サーフェスに対する優先順位付けが、 ASMの重要なポイントととなります。ASMは、攻撃対象領域管理と記述する場合もあります。
ASMは攻撃者の視点から実行されます。攻撃対象ごとに、攻撃者が悪用できる可能性がある侵入経路を特定して、リスクを評価します。個々のASMのタスクは、サイバー犯罪者の行動に精通した「エシカル・ハッカー(ホワイト・ハッカー)」によって考案され、攻撃者と同じ手法とリソースを使用して実行されます。
ASMと同義で用いられることがあるEASM(External Attack Surface Management)は、外部に公開されているデジタル資産の脆弱性とリスクに焦点を当てるものです。企業や組織内に悪意を持つ関係者が存在する場合や、適切なセキュリティー研修が行われていない場合、ASMはフィッシング攻撃とソーシャル・エンジニアリング攻撃のアタック・サーフェスの脆弱性にも対応します。
クラウド・コンピューティングの採用やDXにおけるデジタライゼーションの推進などによって、ネットワークに接続する新たな資産を使用するようになりました。その結果、企業や組織におけるデジタル・フットプリントとアタック・サーフェスは拡大・分散し、ダイナミックなものになりました。
2022年に実施された調査「State of Attack Surface Management 2022」によると、過去12カ月で67%の企業や組織にアタック・サーフェスの拡大が見られました。そして、過去1年間で69%の企業や組織が、管理が不十分な資産や不明な資産を攻撃経路としてサイバー犯罪者に侵害されています。また、ITアドバイザリー企業であるGartner社は、「2022年のセキュリティ/リスク・マネジメントのトップ・トレンド」(ibm.com外部へのリンク)で、CISO(最高情報セキュリティ責任者)向けに2022年の優先事項として、より広範囲にわたってセキュリティー・リスクを管理する必要があると述べています。さらに、「2023年のサイバーセキュリティのトップ・トレンド」(ibm.com外部へのリンク)では、脅威エクスポージャー管理(Continuous Threat Exposure Management。略称、CTEM)を実施することで、CISOは脅威にさらされている範囲を理解・評価する必要があると述べています。
従来のアセット・ディスカバリー(ネットワークに接続しているIT資産を検出と詳細情報の抽出)、リスク評価、脆弱性管理プロセスは、企業や組織のネットワークが今よりも安定して一元化されていたときに開発されたものです。したがって、新たな脆弱性や攻撃ベクトルが発生する現在のネットワークのスピードへの追随は難しくなっています。 例えば、ペネトレーション・テスト(攻撃者と同じ手法でシステムへの侵入を試みるテスト)は、既知の資産の疑わしい脆弱性についてはテストできますが、日々発生している新しいサイバー・リスクや脆弱性の特定には役に立ちません。
しかし、セキュリティー・チームとSOC(セキュリティー・オペレーション・センター)が、ASMのワークフローを継続的に実施するとともにサイバー犯罪者の視点を持つことで、絶えず拡大し変化するアタック・サーフェースに直面した際に、事前対応型のセキュリティー態勢が確立できます。ASMのためのソリューションは、脆弱性や攻撃ベクトルが出現した際にリアルタイムで可視化します。そして、脆弱性を分析して対応の優先順位付けをする際に、従来のリスク管理と脆弱性管理のツールとプロセスの情報を使用して、より多くのコンテキストを収集できます。また、ASMのためのソリューションは、
ASMソリューションは、脆弱性と攻撃ベクトルが出現したときにリアルタイムでこれらの可視性を提供します。ASMソリューションは、脆弱性を分析し優先順位付けする際に、より多くのコンテキストを得るために、従来のリスク管理と脆弱性管理のツールとプロセスの情報を使用できます。また、SIEM(セキュリティー情報とイベント管理)、EDR(エンドポイントでの検知と対応)、XDR(拡張型検知と対応)といった脅威の検出と対応のためのテクノロジーと統合することで、脅威の軽減を推進するとともに、脅威への対応を迅速化できます。
ASMは、アセット・ディスカバリー、分類と優先順位付け、修正、モニタリングの4つのコア・プロセスで構成されています。デジタルのアタック・サーフェスのサイズと形状は絶えず変化しているため、プロセスは継続的に実行され、ASMソリューションはいつでも可能な限りこれらのプロセスを自動化します。目標は、セキュリティー・チームが常に公開されている資産に対して現状のインベントリーを完全に保有していることを確認し、組織にとって最大のリスクとなる脆弱性と脅威への対応を加速することです。
アセット・ディスカバリー
アセット・ディスカバリーは、組織を攻撃しようとしているハッカー、またはサイバー犯罪者のエントリー・ポイントになると思われるインターネットに対応したハードウェア、ソフトウェア、クラウド資産を自動的かつ継続的にスキャンし、特定します。これらの資産には以下が含まれます。
分類、分析、優先順位付け
資産は特定されると、分類され、脆弱性の分析と「攻撃性」(これは、ハッカーがその資産をどれくらいターゲットにする可能性があるかという客観的尺度である)による優先順位が付けが行われます。
資産は、ID、IPアドレス、所有権、およびITインフラストラクチャーの他の資産への接続によってインベントリー管理されます。資産内に含まれる可能性のあるエクスポージャー、エクスポージャーの原因(例:構成ミス、コード・エラー、パッチの欠落)、およびハッカーがこれらのエクスポージャーを介して実行する可能性のある攻撃の種類(例:機密データの盗難、ランサムウェアの拡大、またはその他マルウェア)を調査するために資産が分析されます。
次に、修正する脆弱性に優先順位付けが行われます。優先順位付けはリスク管理評価を行使することです。通常、各脆弱性に対しては、以下に基づいてセキュリティーの格付けとリスクのスコア付けが行われます。
修正
通常、脆弱性は優先順位に従って修正されます。これには以下が含まれます。
修正には、最小特権アクセス、または多要素認証(MFA)など、脆弱性に対処するためのより広範で資産タイプの垣根をこえた措置が含まれる場合があります。
モニタリング
組織のアタック・サーフェスのセキュリティー・リスクは変化するため、新しい資産がデプロイされる、または既存の資産が新しい方法でデプロイされるたびに、インベントリー管理されたネットワーク資産とネットワーク自体の両方が継続的に監視され、脆弱性がないかスキャンされます。継続的に監視することで、ASMはリアルタイムで新しい脆弱性と攻撃ベクトルを検出して評価し、早急に対応が必要なあらゆる新しい脆弱性に対してセキュリティー・チームにアラートを通知します。
お客様のデジタル・フットプリントの拡張を管理し、偽陽性の数を減らして目標を設定し、組織のサイバー・レジリエンスを迅速に向上させます。
最も重要な資産を無防備なものにしてしまう可能性がある欠陥を特定し、その欠陥の修正について優先順位を付けて管理します。
組織のアタック・サーフェスは、その組織のサイバーセキュリティーの脆弱性を総括したものです。
内部脅威は、企業の資産にアクセスすることを許可されているユーザーが、故意に、または偶発的にその資産を侵害した時に発生します。
ゼロトラスト・アプローチでは、すべてのユーザーに対して、ネットワークの外部にいるか、既に内部にいるかに関係なく、アプリケーションとデータへのアクセスを取得し維持するための認証、許可、検証が継続的に行われます。
マルウェアは、コンピューターやネットワークに損害を与えたり破壊するために、またはコンピューター、ネットワーク、あるいはデータへの不正アクセスを提供するために書かれたソフトウェア・コードのことです。
クラウド・コンピューティング環境とワークロードを保護するためのガイドです。
データ・セキュリティーは、デジタル情報を盗難、汚染、 またはそのライフサイクル全体にわたる不正アクセスから保護するためのプラクティスです。