アタックサーフェスリスクマネジメント（ASRM）を活用して企業のサイバーセキュリティを強化する方法

増加するサイバー脅威と求められるアタックサーフェス（攻撃対象領域）の管理

アタックサーフェス（攻撃対象領域）とは、サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。具体的には、パソコン、モバイル、IoTデバイス、サーバ、VPN機器、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。また、アタックサーフェス（攻撃対象領域）は侵入起点だけでなく、侵入後に踏み台となる機器や、重要資産が保存されているサーバなども含みます。

多くの法人組織において、自組織のアタックサーフェス（攻撃対象領域）を把握し、管理することは、サイバー攻撃が行われる可能性がどこにあるかを可視化して、対処するために重要です。一方で、トレンドマイクロが2022年に実施した調査によると、クラウドシフトやデジタルトランスフォーメーションの推進などによって日々拡大するアタックサーフェスを管理することは、多くの企業が懸念を抱いており、対策が進んでいない状況であることが判明しています。そうした、アタックサーフェスにおける課題に対して、複雑化する脅威から重要な資産を守るために、組織はビジネスリスクの観点を踏まえた管理を行うことが求められています。

関連記事：アタックサーフェス（攻撃対象領域）とは？～サイバー攻撃からデジタル資産を守るために必要なこと～

「アタックサーフェスマネジメント」によるアタックサーフェスの可視化

法人組織が機微な情報を保護するために、社内で保有する情報の棚卸し（どこに、どの程度重要度の高い情報があるのか）をする必要があることと同じように、まずはサイバー攻撃を受ける可能性があるアタックサーフェスを把握することが重要です。アタックサーフェスを１つひとつ人の手によって棚卸しすることもできますが、現在の組織におけるデジタル資産の移り変わりの速さから、手動で作成したアタックサーフェスのリストはすぐに古いものとなり、形骸化してしまいます。そのため、継続的にアタックサーフェスを監視して、可視化する動的な活動がアタックサーフェスの把握においては重要になります。そのような一連の活動が、アタックサーフェスマネジメント（Attack Surface Management, ASM）と呼ばれています。
アタックサーフェスマネジメントでは継続的に自組織のデジタル資産を監視することで、既知や未知のデジタル資産の把握、組織内ネットワークに存在する資産や外部に公開されている資産を発見でき、常に変化し続ける動的なアタックサーフェスに対して、組織のSOC（Security Operation Center）などのセキュリティチームが守るべき最新のデジタル資産を可視化することに役立ちます。

図1：アタックサーフェスマネジメントによる攻撃を受ける可能性のあるデジタル資産の可視化

一方で、組織がアタックサーフェスに対するセキュリティ対策を考えるうえで実施しなければならないことは、アタックサーフェスを可視化することだけには留まりません。適切なセキュリティ戦略を考える上では、アタックサーフェスを把握したうえで、そのアタックサーフェスに存在するリスクを管理する必要があります。

サイバーセキュリティ戦略において求められるリスクマネジメント

経済産業省が公開している「サイバーセキュリティ経営ガイドライン」で述べられているとおり、セキュリティ対策を施すうえでCISOやセキュリティ担当者はサイバーセキュリティを包含するリスクマネジメントの実践を行う必要があります。サイバー空間におけるセキュリティリスクを構成する「脅威」と「脆弱性」は常に変化し続け、突発的かつ避けられないインシデントが発生する可能性があるため、継続的にリスクマネジメントを実践することが重要になります。
また、リスクマネジメントの規格JIS Q 31000（ISO 31000準拠）では、リスクマネジメントはリスクに対して組織を指揮統制するために整備された活動と定義されており、以下のようなプロセスで行うこととされています。

1. リスク特定
2. リスク分析
3. リスク評価
4. リスク対応

サイバー空間においては、サイバー攻撃者など組織に損害を与える可能性がある「脅威」が存在し、自組織において守るべき「資産」がある限り、そこには「リスク」が存在します。そして、そのリスクに対して組織は適切なリスクコントロール（軽減・回避・共有・受容）を選択することでリスクを低減できます。リスクコントロールを行う前のリスクを「固有リスク」、リスクコントロールの適用後にも残るリスクを「残留リスク」、そして組織が許容することができるリスクのレベルは「リスクアペタイト」と呼びます。ここでポイントとなるのは、許容するリスクを明確にすることです。リスクをゼロにすることは現実的ではありませんが、そのリスクが発生することを許容するレベルまで低減するという発想です。アタックサーフェスにおけるリスクマネジメントでは、アタックサーフェスを可視化・把握したあとに、それぞれのアタックサーフェスに存在する固有リスクを分析・評価します。さらにその上で、残留リスクを組織が許容できるレベル（リスクアペタイト）まで低減するためにリスクコントロールを施すサイクルを継続的に実践します。

「アタックサーフェスリスクマネジメント」によるリスクの把握、評価、軽減のサイクル

前述のアタックサーフェスマネジメントの活動によるアタックサーフェスの「把握」だけでは、各アタックサーフェスに対して攻撃が行われた場合にそれぞれビジネスにどのくらい影響するのかといった深刻度を測ることができません。つまり、各アタックサーフェスにおける、「侵害される可能性」や「侵害された際のインパクト」といった要素が欠けているため、組織にとってどのアタックサーフェスにおけるリスクを優先的に対応すべきかの判断材料が欠けています。
そのため、アタックサーフェスに対するセキュリティ対策の優先度をつけるために、アタックサーフェスマネジメントに対して、「攻撃の可能性」と「ビジネスへの影響」によって算出される「リスクスコア」を加味した管理を行う「アタックサーフェスリスクマネジメント（Attack Surface Risk Management：ASRM）」という一連の活動が重要になります。アタックサーフェスリスクマネジメントでは、各アタックサーフェスのリスクに応じてビジネスへの影響度を評価することができるため、優先的にリスクコントロールを施すべき箇所を、定量的に判断することができます。

図３：アタックサーフェスリスクマネジメントによるアタックサーフェスのリスクの評価

サイバー空間におけるリスクというのは、インシデントの潜在的な原因となる「脅威」、脅威がつけこむことができる弱点となる「脆弱性」、そして組織が守るべき「資産」という3つの要素で成り立っています。そして、NIST（米国国立標準技術研究所）が公開している「NIST SP 800-30：Guide for Conducting Risk Assessments」では、リスクの重大度を測るリスクスコアは、「攻撃が発生する可能性」と「顕在化した際のインパクト」で算出されます。

侵害が発生する可能性は、脅威が脆弱性を利用できる確率であり、以下のような情報によって算出されます。

●アカウントの漏えい
●攻撃の痕跡
●異常なアクティビティ
●ソフトウェア脆弱性（CVE）
●構成不備
●セキュリティ設定の不備

顕在化した際のインパクトは資産における情報セキュリティのCIA（Confidentiality, Integrity, Availability：機密性、完全性、可用性）の損失により生じる負の影響であり、以下のような情報によって算出されます。

●ユーザの役職
●資産のタイプ
●権限
●利用頻度
●接続状況（内部/外部）

このようにアタックサーフェスリスクマネジメントでは、リスクの要素を取り入れたうえで、組織におけるアタックサーフェスに対して「把握」、「評価」、「軽減」のサイクルを継続的に回すことで、絶えず変化するサイバー脅威や資産に対するリスクレベルの低減を実現します。

アタックサーフェスリスクマネジメントによるプロアクティブなサイバーリスク管理

昨今のサイバー脅威は高度化しているため、組織におけるセキュリティ対策は、事前防御だけではなく、侵入を前提とした対策が推奨されています。侵入を前提とした対策の一つであるEDR(Endpoint Detection and Response)やXDR（Extended Detection and Response）などの技術は、有事の際にそのセキュリティインシデントの兆候を検知して、実被害から企業を守ることを目的としたソリューションです。一方で組織のサイバーセキュリティ戦略における成熟度を高めていくためには、平時から攻撃や侵入の可能性を低減することが重要になります。アタックサーフェスリスクマネジメントのように、平時からリスクの把握、評価、軽減というサイクルを継続的に実践するプロアクティブなサイバーリスクの管理を実践することで、インシデントが発生する可能性を低減し、結果として有事の際におけるSOCやセキュリティ担当者の負担の軽減に繋がります。
また、アタックサーフェスリスクマネジメントにおける「リスクを評価して、軽減する」というプロセスについては、セッションの状態を評価してアクセス制御を行うゼロトラストの考え方とも親和性が高いものとなっています。そのため、アタックサーフェスリスクマネジメントは組織における今後のセキュリティ戦略のロードマップにおいて重要な一角を占める活動となることが考えられます。