アタックサーフェスマネジメント(ASM) とは
アタックサーフェスマネジメント(ASM) では、組織のIT環境全体に対して脅威の発見、診断、軽減を実施します。
アタックサーフェスマネジメント(ASM)の概要
アタックサーフェスマネジメント(ASM)は、サイバーセキュリティのアプローチであり、その目的は、脅威を可視化することにより、組織がさらに強固なデータやシステムの防御を実現することです。リスクがどこに存在するのか把握し、その重大度を理解し、人、プロセス、技術に関連するセキュリティギャップを解消する対策を講じることが重要です。
ASMは、資産の発見と監視を含む従来のサイバーセキュリティアプローチです。攻撃者の視点で潜在的な脅威を捉えます。つまり、組織の防御を突破し、財務面、業務面、あるいは評判に損害を与える機会として認識するのです。
アタックサーフェス(攻撃対象領域)の概要
組織のネットワーク、データ、ITリソースなど、攻撃者がアクセスすることができる要素を、まとめてアタックサーフェスと呼びます。アタックサーフェスは次の3つのフェーズに分かれています。
- デジタルアタックサーフェスとは、外部からアクセス可能なあらゆるハードウェア、ソフトウェア、およびデータを指します。これには、暗号化、認証プロトコル、ファイアウォールなどの保護措置が施されているものも含まれます。
- 物理的アタックサーフェスとは、盗難や物理的な操作によって侵害や情報漏洩を引き起こす可能性のある物理的な設備や機器を指します。
- 社会的(人的)アタックサーフェスとは、組織内でシステムやデータへのアクセス権を持つすべての人を指します。彼らは、フィッシングなどのソーシャルエンジニアリング攻撃、詐欺、脅迫などによって操られ、情報漏洩やセキュリティ侵害を引き起こす可能性があります。
アタックサーフェスマネジメント(ASM) とサイバーリスクマネジメントの比較
アタックサーフェスマネジメント (ASM)はサイバーリスクマネジメントに不可欠な要素であり、組み合わせることで、組織はサイバーセキュリティの状況認識を向上させることができます。具体的には、脅威をプロアクティブに特定し、優先順位を付け、軽減できるよう支援します。
サイバーリスクマネジメントは、アタックサーフェスマネジメントを超えた包括的なサイバーセキュリティのアプローチであり、企業全体のリスクの把握と軽減に重点を置いています。 効果的なサイバーリスクマネジメントモデルは、最も重要なリスクを特定し、「リスクに基づいた意思決定」を促進することで、全体的な脅威へのエクスポージャを最小限に抑えます。これにより、セキュリティチームは防御を強化し、脆弱性を最小限に抑えることができるだけでなく、組織全体のリスク管理および戦略的計画の策定に役立つ情報も提供することもできます。
ASMとEASMの比較
エクスターナルアタックサーフェスマネジメント(EASM) は、インターネットに接続されたものなど、外部公開されたデバイスやシステムに関する脆弱性とリスクを特定・管理することに特化しています。社内サーバーやネットワーク機器といったインターナルアタックサーフェスは、EASMの対象外です。
ASMが重要な理由
企業のIT環境がかつてないほど動的かつ密接に連携するようになり、攻撃対象領域が拡大・多様化していることから、ASMの必要性が高まっています。従来の資産管理や監視の手法、特定の目的に特化したサイバーセキュリティ対策では、必要な可視性、情報分析、保護を十分に提供することができません。一方アタックサーフェスマネジメントは、セキュリティチームが企業のIT環境全体への侵入経路を減らし、新たに発生する脆弱性や攻撃の手法や経路をリアルタイムで把握できるようにします。
アタックサーフェスマネジメントの防御対象
アタックサーフェスマネジメント は、「攻撃ベクトル」とも呼ばれる幅広い脅威に組織が対抗できるよう支援します。以下の例に加え、他にもさまざまな脅威があります。
- サイバー攻撃:ランサムウェア、ウイルス、その他のマルウェアが企業のシステムに侵入すると、攻撃者はネットワークやリソースにアクセスしたり、データを盗みだしたり、デバイスを乗っ取ったり、資産やデータに損害を与えることができます。
- コーディングの問題と設定ミス:ポート、アクセスポイント、プロトコルなどのネットワークやクラウド技術の設定ミスによって、攻撃者に対して侵入経路を開いたままにしてしまうことも、侵害の一般的な原因となります。
- フィッシング対策:詐欺メール、テキストメッセージ、ボイスメッセージ(そして今日ではAIが生成したディープフェイクを使ったビデオ通話でさえも)などは、ユーザを欺き、サイバーセキュリティを脅かす行動を取るように仕向けるのがフィッシングの手口です。サイバーセキュリティを脅かす行動とは、機密情報の共有、マルウェアにつながるリンクのクリック、支払われるべきでない資金の流出などです。AIの登場で、フィッシングの検出はより難しくなり、標的も絞り込まれるようになりました。
- 古いテクノロジとアプリケーション:攻撃者が組織に侵入するための手段を与えないよう、ソフトウェア、ファームウェア、デバイスのオペレーティングシステムを適切にコーディングし、既知の脆弱性や脅威に対するパッチを適用することが求められます。また、IT環境の一部として残っているものの、メンテナンスされていなかったり、現在使われていない古いデバイスは、監視対象外であることが多いため、攻撃者にとって都合の良い侵入ポイントとなる可能性があり、セキュリティ上の脆弱性となります。
- 脆弱なパスワードと暗号化:分かりやすい、簡単すぎる、または複数のアカウントで使いまわされているような推測されやすいパスワードは、攻撃者が組織のデジタルリソースへのアクセスする隙を与える可能性があります。盗まれた資格情報も、同様の理由でサイバー犯罪者の間で高い需要があります。暗号化とは、情報を第三者が読み取れないように加工することで、権限を持つ人だけが閲覧できるようにするための技術です。しかし、暗号の強度が不十分だと、ハッカーがデータを盗み出し、それを足がかりに大規模な攻撃を実行する恐れがあります。
- シャドーIT:組織の従業員が使用するツールのうち、IT部門が把握・承認していないものは「シャドーIT」とみなされます。このようなツールは、サイバーセキュリティチームがその存在を把握していないことから、脆弱性の原因となり得ます。シャドーITには、アプリケーション、ポータブルストレージデバイス、個人のスマートフォンやタブレットなどが含まれます。
アタックサーフェスマネジメントの仕組み
アタックサーフェスマネジメントには、発見、診断、軽減の3つの主要なフェーズがあります。アタックサーフェスは常に変化するため、これら3つのプロセスを継続的に実施することが重要です。
発見
発見フェーズでは、アタックサーフェスとそれを構成する資産を特定します。発見の目的は、アタックサーフェスを構成する既知および未知のデバイス、ソフトウェア、システム、アクセスポイントを抜け漏れなく特定することです。これには、シャドーITアプリケーション、連携しているサードパーティ技術、さらには過去の資産台帳にはなかった技術も含まれます。多くのASMソリューションには「発見」機能が含まれていますが、適切なものを選ぶには慎重な判断が必要です。資産の特定だけでなく、コンプライアンスやサイバーリスクの定量化を組み合わせることで、リスクの全体像を把握し、真の脆弱性を明確にすることができます。継続的な発見プロセスを導入することにより、時間経過によるアタックサーフェスの変化を把握し、より効果的なセキュリティ対策を講じることが可能になります。
診断
検出フェーズが終了したら、セキュリティチームは各資産を評価し、設定ミスやコーディングエラーといった技術的な問題から、フィッシング詐欺やビジネスメール詐欺(BEC)攻撃に対する脆弱性といった社会的・人的要因まで、潜在的な脆弱性を幅広く分析します。リスクごとにスコアが設定されるため、セキュリティチームは最も緊急性の高いものから優先的に対応できます。
リスクスコアは通常、リスクの重大度、攻撃の可能性、潜在的な被害、および対策の難易度に基づいて算出されます。グローバルな脅威データを活用し、最も頻繁かつ容易に悪用されている脆弱性を反映することが理想的です。
例:機密データにアクセスでき、インターネットに接続され、既知の脆弱性があり、実際の攻撃者にすでに悪用されているソフトウェアがある場合、そのソフトウェアにパッチを適用することが最優先事項になります。
すべてのリスクがスコア化されたら、各リスクのスコアを集計し、組織全体のリスクスコアを算出します。そうすることで、組織はリスクプロファイルを定量的に評価し、長期的に監視・管理することができるようになります。
軽減
軽減とは、発見された脆弱性に対処する措置を講じることです。具体的には、ソフトウェアアップデートの実行やパッチのインストール、セキュリティコントロールやハードウェアの設定、ゼロトラストなどの保護フレームワークの実装などが考えられます。また、古いシステムやソフトウェアの廃止も対策の一環となることがあります。いずれにしても、規模に応じて緩和策に取り組めるよう、適切なソリューションを用意することが重要です。
ASM導入のメリットと方法
効果的な攻撃対象領域管理(ASM)により、組織のセキュリティを大幅に向上させることができます。IT環境全体と攻撃対象領域の可視性を高めることが、セキュリティの強化につながります。その結果、リスクを軽減し、継続的な監視と再評価を通じて安全性を維持することが可能になります。
このことは、セキュリティを担当するチームに安心感を与えると同時に、企業全体にも大きなメリットをもたらします。アタックサーフェスの可視化により、資産の透明性と管理性が向上し、サイバー攻撃のリスクを軽減するとともに、コスト削減にも貢献します。セキュリティ担当チームがより迅速かつ効果的に行動できるようになると、組織は事業継続性をより安定して維持できるようになります。攻撃を早期に特定し適切な対策を講じることで、大規模な業務の混乱を防ぐことが可能になるからです。
ASMの実施方法
ASMには、発見、診断、軽減の各フェーズをプロアクティブに実施できる、サイバーセキュリティプラットフォームと統合されたCyber Risk Exposure Management(CREM)が必要です。
また、Security Information and Event Management (SIEM)、Endpoint Detection and Response (EDR)、Extended Detection and Response (XDR)などの強力なセキュリティ運用機能を備えたプラットフォームを選択することが特に重要です。特にXDRからは、現在のASP(アタックサーフェスプロテクション)のパフォーマンスに関して重要なデータと分析を提供されます。これらの洞察を活用して、リスク診断フェーズの確度を向上させることが可能です。
アタックサーフェスマネジメントの導入支援
今日の厳しいリスク環境では、アタックサーフェスマネジメントだけでは不十分です。サイバーリスクの影響を大幅に削減するには、プロアクティブにリスクを予測、発見、評価、軽減するCyber Risk Exposure Management(CREM)が必要です。
Trend Vision One™ は、革新的なアプローチを採用したCyber Risk Exposure Management(CREM)ソリューションを提供します。 このソリューションは、Cyber External Attack Surface Management (EASM)、 Cyber Asset Attack Surface Management (CAASM)、脆弱性管理、セキュリティポスチャ管理などの主要機能を統合し、クラウド、データ、アイデンティティ、API、AI、コンプライアンス、SaaSアプリケーションに対応する強力で使いやすいソリューションとして提供されます。
Cyber Risk Exposure Management (CREM)が、アタックサーフェスの管理とその先の領域でどのように役立つかについて、詳しくはこちら
アタックサーフェスマネジメント (ASM) のトピック