External Attack Surface Management (EASM) とは
External Attack Surface Management (EASM) は、外部に接続されているデータ、システム、技術に紐づくリスクを識別、監視、軽減することに焦点を当てたサイバーセキュリティアプローチです。
External Attack Surface Management (EASM) の概要
組織のアタックサーフェスとは、不正アクセスを試みる攻撃者がシステムやデータに侵入する際に利用することができる、あらゆる脆弱性、アクセスポイント、攻撃経路の総称です。犯罪者が、システムを妨害したり、データを盗んだり、身代金を要求したり、その他の悪意のある行動を取ろうとする際に標的とするのがこの部分です。
どの組織にも、内部と外部のアタックサーフェスがあります。インターナルアタックサーフェスは、内部ネットワーク環境を構成するすべての要素(インフラストラクチャ、デバイス、アプリケーション、ユーザーなど)を含みます。
一方、エクスターナルアタックサーフェスは、その名のとおりインターネット、クラウドサービス、モバイル接続などを通じて外部と接し、直接的に情報のやりとりをするすべての技術を指します。これには、サードパーティのサプライヤ、パートナー、ベンダとの接点の他、リモートワーカーとの接点も含まれます。
外部攻撃対象領域管理(EASM)とは、は、こうした外部に露出している資産、リソース、技術を守るプロセスです。多くの脅威が組織外からもたらされ、特に外部からの攻撃はかつてないほど活動が活発かつ複雑になっているため、とりわけ注意が必要な分野です。エクスターナルアタックサーフェスをプロアクティブに管理できる組織は、そのセキュリティ体制を大幅に強化することができます。
エクスターナルアタックサーフェスマネジメント(EASM)とアタックサーフェスの関係性
アタックサーフェスマネジメント(ASM)は、内部および外部のアタックサーフェス(攻撃対象領域)全体を指す包括的な用語です。エクスターナルアタックサーフェスマネジメントは、外部リスクのみに焦点を当てています。どちらのタイプのアタックサーフェスマネジメントも、デジタル、物理、および社会的(人的)という3つの側面があり、どちらも、検出、診断、軽減という継続的な3段階プロセスが必要です。
EASMが重要な理由とは?
ネットワークが相互接続され、オープンになった現代において、EASMの重要性はますます高まっています。ゲートウェイやファイアウォールが、日常的な脆弱性テストや侵入テストによって担保され、不正侵入者を確実にシャットアウトできた時代は、もはや過去のものとなりました。今日、ネットワークには従来の方法で保護できる「ハードボーダー」がほとんど存在せず、その結果、サイバー犯罪者がシステムやデータに侵入して悪質な行為を働くのに利用できる新たな突破口が拡がっています。
またそれと同時に、企業のIT環境は高度に分散化してきました。事業部門や個々のユーザーは、IT部門の支援を受けずにクラウドリソースをすぐに利用できます。そのため、シャドーITアプリやサービスが氾濫しており、多くの従業員が企業ネットワーク上や業務目的で個人デバイスを使用しています。
これらの現状から分かるのは、エクスターナルアタックサーフェスがこれまで以上に多くの脆弱性を抱えていることを意味し、サイバーリスクマネジメントに対して一貫した包括的なアプローチが求められているということです。EASMは、エクスターナルアタックサーフェス全体を可視化し、継続的な監視とリスクの軽減を実現します。これにより、サイバーセキュリティ担当者は、組織が特にリスクを抱えている場所を把握し、適切な対策を講じることが可能になります。
EASMが防御するものとは?
ほとんどの攻撃ベクトル(サイバー攻撃の手法)はエクスターナルアタックサーフェスを標的としています。一般的な攻撃として、ランサムウェアやフィッシング詐欺、プライベートまたは高価値データの窃取、さらには業務システムの混乱を狙った不正侵入などが挙げられます。EASMは、セキュリティ担当者がアタックサーフェスを縮小するよう支援し、これらの攻撃ベクトルが企業のIT環境に侵入する可能性を減少させます。
さらに、エクスターナルアタックサーフェスの可視性を向上させることにより、プライバシーやデータ保護に関する法令や規制の遵守を促進し、侵害の防止・抑制を可能にします。
エクスターナルアタックサーフェスの例
インターネットにアクセス可能なシステムやサービスは、すべてエクスターナルアタックサーフェスの一部となり得ます。どの組織でも、外部に面していて潜在的に露出しているデバイスと技術がそれぞれ特有の割合で混在しています。代表的なものは以下のとおりです。
- Webアプリケーション:オンラインショッピングサイトや予約システムを運営する企業は、いずれもWebアプリケーション(Webアプリ)を利用しています。そのため、Webアプリは多くの組織においてエクスターナルアタックサーフェスの大部分を占め、インターネット接続があれば誰でもアクセス可能です。もしWebアプリの構成が正しくなかったり、十分なセキュリティ対策が施されていなかったりする場合、攻撃者が脆弱性を突いて、マルウェアを展開したり、データを窃取したり、Webアプリと連携する企業のバックエンドシステムに不正アクセスしたりする恐れがあります。
- クラウドサービス:クラウドサービスや仮想化インフラにより、組織は便利で柔軟性があり、拡張性の高いコンピューティングリソースにアクセスすることができます。ただし、このようなリソースを利用するには外部ネットワーク接続が必要なため、外部に露出しており、攻撃リスクが伴います。Webアプリと同様、クラウドインフラが適切に構成されていない場合、ハッカーがその脆弱性を悪用する恐れがあります。
- リモートアクセスシステム:パンデミックを契機にリモートおよびハイブリッド勤務が急激に広がったことで、従業員は自宅やセキュリティが十分ではない外部ネットワーク経由で企業のシステムやデータへアクセスする状況にあります。こうした接続を保護するために使用される技術、例えば仮想プライベートネットワーク(VPN)は、攻撃者によって企業のIT環境への侵入経路として狙われるようになっています。
- モノのインターネット(IoT)デバイス:多くの企業や建物では、環境管理やセキュリティシステムを含め、あらゆる用途でIoTが導入されており、従業員の自宅やホームオフィスも例外ではありません。これらのデバイスもまた、拡大し続けるエクスターナルアタックサーフェスの主要な一部を占めています。
組織がEASM戦略で対策を講じるべきもう一つの外部リスクは、サードパーティのベンダとの連携関係です。多くの企業は、ITのマネージドサービスプロバイダ(MSP)や決済処理パートナーなど、商業、金融、技術サービスを外部業者に委託しており、これらの外部業者と組織のIT資産間の連携が、攻撃者にとって潜在的な標的となる可能性があります。これらの外部業者と組織のIT資産の間の接続は、攻撃者の潜在的なターゲットになる可能性があります。
EASMの仕組みとは?
アタックサーフェスマネジメント(ASM)全体と同様に、EASMにも発見、評価、軽減の連続的かつ反復的なプロセスが含まれています。
発見
エクスターナルアタックサーフェスマネジメント機能を備えたサイバーセキュリティプラットフォームは、既存の資産目録に含まれていない可能性があるものも含め、すべての外向け資産を特定できる必要があります。発見プロセスの一環としてスキャン対象となる資産や要素には、クラウドサービス、Webアプリケーション、IPアドレス、ドメインなどが含まれます。さらに、EASMソリューションはクラウド上のシャドーITアプリケーションも発見でき、これにより、組織が全く把握していないセキュリティの抜け穴(いわゆる「unknown unknowns」)が明らかになります。
診断
発見の段階が完了したら、次はEASMソリューションを使用してエクスターナルアタックサーフェスマネジメントのリスクを診断します。通常、これには誤設定、パッチ未適用のソフトウェア、古いシステム、既知および潜在的な脆弱性などの調査が含まれます。こうして脆弱性が特定されると、リスクの程度に応じて優先順位が付けられ(リスクスコアリング)、最も緊急または深刻なリスクを決定し、対策に必要なリソースの割り当てが行われる仕組みになっています。
軽減
軽減には、古いハードウェアの廃止、ソフトウェアの更新とパッチ適用、誤設定の修正、シャドーITアプリケーションの管理下への移行などの対応措置があります。また、継続的なEASMプロセスの一環として、エクスターナルアタックサーフェスを常時監視することも必要です。それにより、IT環境や脅威の情勢が変化する中でも、企業が先手を打って対応し、強固なセキュリティ態勢を維持することができます。
EASMの利点とは?
EASMには、組織にとって多くの関連する利点があります。
- 可視性:EASMは、組織が外向きの技術資産を包括的に把握し、これまで発見されなかった脆弱性を明らかにすることで、より強固かつ包括的なサイバー防御を実現します。
- 有効性:EASMは、迅速な脅威検出とIT環境の全体像の把握により、インシデント対応の迅速化と正確性の向上を促進し、脅威を早期の段階で封じ込めることができるよう支援します。
- コンプライアンス:多くの業界において、組織はデータ保護およびプライバシーに関する法的および規制の枠組みを遵守することが義務付けられています。EASMは、効果的なサイバーリスクマネジメントのアプローチの一環として、コンプライアンス対応を支援します。
これらが組み合わさることにより、リアルタイムのインテリジェンスと的確なサイバーセキュリティ対応に基づいた、より強固なセキュリティ態勢が実現できます。
EASMがサイバーリスクマネジメントにおいて果たす役割とは?
サイバーリスクマネジメントは、組織のサイバーセキュリティに関する状況認識を向上する方法であり、脅威の特定、優先順位付け、軽減を目的としています。EASMは、サイバーリスクマネジメントのフレームワークにおけるごく一部を担っているに過ぎません。
一般的に、サイバーリスクマネジメントは、各組織が固有のニーズ、業界の状況、企業特有の脅威環境に合わせてカスタマイズされたセキュリティ対策や管理策を講じることで、よりプロアクティブに脅威の特定や対応を行えるよう支援することを目的としています。その目標は、継続的な監視と継続的な評価を通じて脅威に対するリアルタイムの洞察を可能にし、すべての従業員が同じプロアクティブなサイバーセキュリティの考え方を共有できるようにすることです。
サイバーリスクマネジメントのフェーズは、EASMのフェーズと同じ、発見、診断、軽減の3つです。
包括的なCyber Risk Exposure Management(CREM)ソリューションには、ASM、EASM、Cyber asset attack surface management(CAASM)、脆弱性管理、セキュリティポスチャ管理、コンプライアンスリスクの定量化、リスクスコアリングのほか、明確な目標と一貫した取り組みを確実に実行するための方針、手順、その他のガバナンス関連コンポーネントが含まれます。
EASMの実施支援とは?
EASMはASMの重要な要素の一つですが、真のリスクレジリエンスを構築するためには、EASMだけでなく、Cyber asset attack surface management(CAASM)、脆弱性管理、セキュリティポスチャ管理など、最先端のCyber Risk Exposure Management対策機能が幅広く必要となります。Trend Vision One™ はこれらの機能をすべて統合したCyber Risk Exposure Managementのソリューションを提供し、侵入口の継続的な監視、影響に基づく軽減措置の優先順位付け、リスクの財務的評価、将来の脅威の予測により、リスクが顕在化する前に無力化します。
単なるアタックサーフェスの管理を超え、包括的なリスク対策を実現するCyber Risk Exposure Managementについて、詳しくはこちら
External Attack Surface Management (EASM)のトピック