こんにちは。クラウドセキュリティ事業部のK.Kです。

今後複数回にわたって、アタックサーフェス管理とエクスポージャ管理についてブログを書いていきます。この最初のブログ「アタックサーフェス管理(ASM)の本来の目的を改めて考えてみた」では、アタックサーフェス管理(ASM) の本来の目的についてご案内しますので、ご参考にして頂けますと幸いです。

■攻撃から守るべき資産の拡大

ビジネスの推進に欠かせないデジタル インフラストラクチャ (ワークステーション、仮想マシン、コンテナー、エッジなど) の急速な進化と拡大により、保護すべきサイバー攻撃対象領域（アタックサーフェス）を把握することがますます困難になっています。

組織がデジタル環境の管理とセキュリティ確保のためにエンドポイント セキュリティ、脆弱性管理、パッチ適用、IT資産管理、マネージドサービス、クラウドのネイティブサービス等、多くのツールやサービスを利用しています。それぞれのツールやサービスは単体では重要な役割を提供していますが、組織における担当の違いやその責任範囲により、デジタル環境全体の情報共有や統合がされず断片化し、正確な情報を得る事が難しくなっています。

■アタックサーフェスと脅威エクスポージャ管理

2023年5月に経済産業省から「ASM（Attack Surface Management）導入ガイダンス～外部から把握出来る情報を用いて自組織のIT資産を発見し管理する～」

引用元：https://www.meti.go.jp/press/2023/05/20230529001/20230529001.html

が公開されました。その中で一般的なASMの特徴とイメージとして、インターネットに接続されているIT資産からASMツールにより発見される以下の項目が紹介されています。

・設定ミス

・意図しない更改設定

・放置された脆弱性

・未把握の機器

これらは、主にインターネット側（外部）からASMツールにより、発見されるアタックサーフェスとなり、Gartner®が提唱しているEASMの範囲となります。最近では、この外部アタックサーフェスから露出する脅威を脅威エクスポージャの１つとして捉え、脅威エクスポージャ管理の重要な対象領域としています。組織における脅威エクスポージャ管理としては、これら外部アタックサーフェス管理(EASM)以外にも、組織全体のサイバー資産を対象としたアタックサーフェス管理（CAASM）やダークウェブやSNSで露出してしまう脅威エクスポージャの管理（DRPS）も存在しています。

Gartner®は、このEASM、CAASM、DRPSをASMの構成要素と定義しています。

■アタックサーフェスの見える化と本当の問題点

上記のようにEASMは外部（インターネット）と直接通信を行う資産のアタックサーフェスであるため、外部からも発見しやすく、言い換えればそれだけ攻撃対象とされる可能性も高いので、優先的に対応すべき領域である事は否定できません。しかし、デジタル環境の進化とサイバー攻撃の高度化により、外部アタックサーフェスさえ守っていれば問題無いという論理は崩壊しつつあります。

したがって、組織全体のアタックサーフェスを可視化する重要性は高まっていますが、本当の問題は別のところにあります。それは、真のアタックサーフェスの発見と対策の優先順位付け、問題の修復にあります。

現在、全てのサイバー資産をほぼ正確に可視化できている組織は極わずかであり、また外部アタックサーフェスにおいても同様に十分な精度で可視化できているとは言い切れない状況です。

■真のアタックサーフェスの発見とは？

組織が脆弱性管理 (VM)、クラウド セキュリティ ポスチャ管理 (CSPM)、エンドポイント セキュリティ (EDR/EPP)、Active Directory (ディレクトリ サービス)、IT 資産管理 (ITAM) のソリューションを導入している実際の例を見てみましょう。

これらのツールはいずれも、環境内のIT資産数の正解を持っていません。それは、EDRやEPPはエンドポイントに限定され、Active Directory はドメイン コントローラーに関連付けられた資産 (主に Windows) のみを管理対象とし、クラウド環境やネットワーク機器等も別の管理ツールを利用しています。したがって、これらのツールのみから資産の総数の正解を得ることができません。

この事実は、資産の正確な総数を入手できない場合、導入されているコントロールの数、存在する脆弱性とエクスポージャの数、環境内のアクティブな脅威の数を把握できないため、さらに複雑な状況をもたらします。このような状況では、信頼性の高い情報に基づいて優先順位付けと意思決定を行えません。

結局のところ、現状大多数の組織においては、断片化されたテクノロジーによるエコシステムを構築し、セキュリティ チームがサイバー リスクを判断するために利用できる最良のデータを入手できず、最も効果的な修復と対応を優先することができなくなっています。

本当に重要なギャップを見極められる攻撃対象領域の管理が必要です。

■推奨アプローチ

セキュリティプログラムに攻撃対象領域ベースのアプローチを採用するには、次のようなさまざまな要素を考慮する必要があります。

• エンドポイントからクラウドまで、組織内のすべてのサイバー資産の検出とインベントリの把握
• インターネットスキャンにより未知のリスクを特定し、既存の資産インベントリにマッピング
• IT資産、セキュリティ、ビジネスコンテキストに関する高精度の可視性と洞察
• 資産とより広範なネットワークおよびビジネスインフラストラクチャ間の関係マッピング

ASM は、新規または更新された資産を発見し、ネットワークまたはクラウドのユースケースにおけるシャドー IT の使用を識別し、ビジネスへの潜在的なリスクに基づいてエクスポージャを優先順位付けとインベントリとのマッチングを実施します。より総合的なアプローチの採用を必要としています。

■まとめ

ASMは、より複雑化している組織全体におけるエクスポージャの可視性や精度を高める事ができますが、それは本来の目的ではありません。本来の目的は、ASMにより可視化された組織内のあらゆる種類のエクスポージャの優先順位付け、修復、評価を行う、より総合的なアプローチである継続的な脅威エクスポージャ管理 (CTEM) と連携し、ビジネスレジリエンスの高度化に貢献することだと考えています。

この記事に関連するテクノロジーや詳細にご興味のある方は、以下のお問合せ先にご連絡ください。

【お問い合わせ先】

株式会社テリロジー クラウドセキュリティ事業部 宛
Email：cloudsolution@terilogy.com
TEL： 03-3237-3291
窓口受付時間：平日9:00～17:30