EASM(External Attack Surface Management) は、外部に接続されているデータ、システム、技術に紐づくリスクを識別、監視、軽減することに焦点を当てたサイバーセキュリティアプローチです。
目次
組織のアタックサーフェス(攻撃対象領域)とは、攻撃者がシステムやデータに侵入する際に悪用可能なあらゆる脆弱性、アクセスポイント、攻撃経路の総称です。攻撃者が、システムの妨害、データの窃取、身代金の要求といった悪意のある活動を行う際の標的となります。
どの組織にも、内部と外部のアタックサーフェスが存在します。インターナルアタックサーフェスは、内部ネットワーク環境を構成するすべての要素(インフラ、デバイス、アプリケーション、ユーザなど)を含みます。
一方、エクスターナルアタックサーフェスは、その名の通りインターネットやクラウドサービス、モバイル接続などを通じて外部と接点を持ち、直接的に情報をやり取りするすべての技術を指します。これには、サードパーティのサプライヤ、パートナー、ベンダとの接続点のほか、リモートワーカーとの接続点も含まれます。
EASMとは、こうした外部に公開されている資産、リソース、技術を保護するプロセスです。多くの脅威は組織外からもたらされ、特に外部からの攻撃はかつてないほど活発かつ複雑になっているため、特に注意が必要な分野です。エクスターナルアタックサーフェスをプロアクティブに管理することで、組織はセキュリティ体制を大幅に強化できます。
EASMとアタックサーフェスの関係性
アタックサーフェスマネジメント(ASM) は、内部および外部のアタックサーフェス(攻撃対象領域)全体を指す包括的な用語です。EASMは、外部のリスクのみに焦点を当てています。どちらのタイプも、デジタル、物理、およびソーシャル(人的)の3つの側面があり、継続的な「検出」、「評価」、「軽減」の3段階のプロセスを必要とします。
EASMが重要な理由とは?
ネットワークが相互接続され、オープンになった現代において、EASMの重要性はますます高まっています。ゲートウェイやファイアウォールが、日常的な脆弱性テストや侵入テストによって保護され、不正な侵入を確実に遮断できた時代は、もはや過去のものとなりました。今日、ネットワークには従来の方法で保護できる境界がほとんど存在せず、その結果、サイバー犯罪者がシステムやデータに侵入し、悪用できる新たな侵入口が広がっています。
またそれと同時に、組織のIT環境は高度に分散化しています。事業部門や個々のユーザは、IT部門の許可なくクラウドリソースを迅速に利用できます。そのため、シャドーITのアプリやサービスが散在しており、多くの従業員が組織ネットワーク上や業務目的で個人のデバイスを使用しています。
これらの現状は、エクスターナルアタックサーフェスがこれまで以上に多くの脆弱性を抱えていることを意味し、サイバーリスクマネジメントに対して一貫した包括的なアプローチが求められていることを示唆しています。EASMは、エクスターナルアタックサーフェス全体を可視化し、継続的な監視とリスクの軽減を実現します。これにより、セキュリティ担当者は、組織が特にリスクを抱えている箇所を把握し、適切な対策を講じることが可能になります。
EASMが防御するものとは?
ほとんどの攻撃ベクトル(サイバー攻撃の手法)はエクスターナルアタックサーフェスを標的としています。一般的な攻撃として、ランサムウェアやフィッシング詐欺、機密情報や価値の高いデータの窃取、さらには業務システムの混乱を狙った不正侵入などが挙げられます。EASMは、セキュリティ担当者によるアタックサーフェスの縮小を支援し、これらの攻撃ベクトルが組織のIT環境に侵入する可能性を低減させます。
さらに、エクスターナルアタックサーフェスの可視性を向上させることで、プライバシーやデータ保護に関する法令や規制の遵守を促進し、侵害の防止・抑制を可能にします。
エクスターナルアタックサーフェスの例
インターネットにアクセス可能なシステムやサービスは、すべてエクスターナルアタックサーフェスの一部となり得ます。どの組織でも、外部に公開され、潜在的にリスクにさらされているデバイスと技術がそれぞれ特有の構成で混在しています。代表的なものは以下の通りです。
- Webアプリケーション:オンラインショッピングサイトや予約システムを運営する企業は、いずれもWebアプリケーション(以下、Webアプリ)を利用しています。そのため、Webアプリは多くの組織においてエクスターナルアタックサーフェスの大部分を占め、インターネット接続があれば誰でもアクセス可能です。もしWebアプリの設定が不適切であったり、十分なセキュリティ対策が施されていなかったりする場合、攻撃者が脆弱性を悪用し、マルウェアを展開したり、データを窃取したり、Webアプリと連携する組織のバックエンドシステムに不正アクセスしたりするおそれがあります。
- クラウドサービス:クラウドサービスや仮想化インフラにより、組織は利便性、柔軟性、拡張性の高いコンピューティングリソースにアクセスできます。ただし、これらのリソースは外部ネットワークへの接続を必要とするため、外部に公開されており、攻撃のリスクを伴います。Webアプリと同様、クラウドインフラが適切に設定されていない場合、攻撃者がその脆弱性を悪用するおそれがあります。
- リモートアクセスシステム:パンデミックを契機にリモートワークやハイブリッドワークが急速に拡大したことで、従業員は自宅やセキュリティが不十分な外部ネットワーク経由で組織のシステムやデータへアクセスしています。こうした接続を保護するために使用されるVPN(仮想プライベートネットワーク)などの技術は、攻撃者から組織のIT環境への侵入経路として狙われています。
- IoT(モノのインターネット)デバイス:多くの企業や建物では、環境管理やセキュリティシステムを含め、あらゆる用途でIoTが導入されており、従業員の自宅やホームオフィスも例外ではありません。これらのデバイスもまた、拡大し続けるエクスターナルアタックサーフェスの主要な構成要素です。
組織がEASM戦略で対策を講じるべきもう一つの外部リスクは、サードパーティのベンダとの連携です。多くの組織は、MSP(マネージドサービスプロバイダ)や決済処理パートナーなどのITサービスを外部の事業者に委託しており、これらの事業者と組織のIT資産との連携が、攻撃者にとって潜在的な標的となる可能性があります。
EASMの仕組みとは?
アタックサーフェスマネジメント(ASM)全体と同様に、EASMには「発見」、「評価」、「軽減」の継続的かつ反復的なプロセスが含まれています。
発見
EASMの機能を備えたサイバーセキュリティプラットフォームは、既存の資産目録に含まれていないものも含め、外部に公開されているすべての資産を特定できる必要があります。発見プロセスの一環としてスキャン対象となる資産や要素には、クラウドサービス、Webアプリケーション、IPアドレス、ドメインなどが含まれます。さらに、EASMソリューションはクラウド上のシャドーITアプリケーションも発見でき、これにより、組織が全く把握していないセキュリティ上の死角(いわゆる「未知の未知」)が明らかになります。
評価
発見の段階が完了したら、次にEASMソリューションを使用してエクスターナルアタックサーフェスのリスクを評価します。通常、これには設定ミス、パッチが適用されていないソフトウェア、古いシステム、既知および潜在的な脆弱性などの調査が含まれます。こうして脆弱性が特定されると、リスクの程度に応じて優先順位が付けられ(リスクスコアリング)、最も緊急または深刻なリスクが特定され、対策に必要なリソースが割り当てられます。
軽減
軽減には、古いハードウェアの廃止、ソフトウェアの更新とパッチ適用、設定ミスの修正、シャドーITアプリケーションの管理下への移行といった対応措置が含まれます。また、継続的なEASMプロセスの一環として、エクスターナルアタックサーフェスを常時監視することも必要です。それにより、IT環境や脅威の状況が変化する中でも、組織は脅威に先んじて対応し、堅牢なセキュリティ体制を維持できます。
EASMのメリットとは?
EASMには、組織にとって多くのメリットがあります。
- 可視性:EASMは、組織が外部に公開されている技術資産を包括的に把握し、これまで発見されなかった脆弱性を明らかにすることで、より強固で包括的なサイバー防御を実現します。
- 有効性:EASMは、迅速な脅威検出とIT環境の全体像の把握により、インシデント対応の迅速化と正確性の向上を促進し、脅威を早期段階で封じ込めることを支援します。
- コンプライアンス:多くの業界において、組織はデータ保護およびプライバシーに関する法令や規制の枠組みを遵守することが義務付けられています。EASMは、効果的なサイバーリスクマネジメントのアプローチの一環として、コンプライアンス対応を支援します。
これらが組み合わさることで、リアルタイムのインテリジェンスと的確なサイバーセキュリティ対応に基づいた、より強固なセキュリティ体制が実現します。
EASMがサイバーリスクマネジメントにおいて果たす役割とは?
サイバーリスクマネジメントは、組織のサイバーセキュリティに関する状況認識を向上させるアプローチであり、脅威の特定、優先順位付け、軽減を目的としています。
EASMは、サイバーリスクマネジメントのフレームワークにおける重要な要素の1つです。
一般的に、サイバーリスクマネジメントは、各組織が固有のニーズ、業界の状況、組織特有の脅威環境に合わせてカスタマイズされたセキュリティ対策や管理策を講じることで、よりプロアクティブな脅威の特定や対応を支援することを目的としています。その目標は、継続的な監視と評価を通じて脅威に対するリアルタイムの洞察を可能にし、すべての従業員がプロアクティブなサイバーセキュリティの考え方を共有できるようにすることです。
サイバーリスクマネジメントのフェーズは、EASMのフェーズと同様に、「発見」、「評価」、「軽減」の3つです。
包括的なCyber Risk Exposure Management(CREM)ソリューションには、ASM、EASM、CAASM(Cyber asset attack surface management)、脆弱性管理、セキュリティポスチャ管理、コンプライアンスリスクの定量化、リスクスコアリングのほか、明確な目標と一貫した取り組みを確実に実行するための方針、手順、そのほかのガバナンス関連コンポーネントが含まれます。
EASMを支援する機能とは?
EASMはASMの重要な要素の1つですが、真のリスクレジリエンスを構築するためには、EASMだけでなく、CAASM、脆弱性管理、セキュリティポスチャ管理など、最先端のCyber Risk Exposure Managementの対策機能が幅広く必要となります。
Trend Vision One™ はこれらの機能をすべて統合したCyber Risk Exposure Managementのソリューションを提供し、侵入口の継続的な監視、影響に基づく軽減措置の優先順位付け、リスクの財務的評価、将来の脅威の予測により、リスクが顕在化する前に無力化します。
単なるアタックサーフェスの管理を超え、包括的なリスク対策を実現するCyber Risk Exposure Managementについては下記よりご覧ください。