近年、外部公開IT資産(以下、IT資産)経由でのセキュリティ侵害が多発しています。
2024年にIPAから発行されている「情報セキュリティ10大脅威(組織編)」においては、10項目のうち6項目がインターネットを介した「リモートアクセス環境を悪用した攻撃が主流の脅威」であるとされており、警察庁が発表したランサムウェア事案における感染経路に係る統計データおいても86%がリモートアクセス環境の脆弱性等を突いた侵入であることが明らかになっています(図)。
このような外部IT資産経由でのセキュリティ侵害が発生しやすくなっている原因の1つとして企業が抱える「IT資産の把握漏れ」が挙げられます。
まず、IT資産管理の方法としては現場より申告を受けた情報をもとにIT資産の管理台帳を作成し、定期的な棚卸により更新をしていくことが一般的とされています。一方でクラウド利用の増加、リモートワーク普及等により企業が持つITインフラ環境がより多様化・拡大しており、管理台帳を用いた申告ベースでの資産管理ではその網羅性を維持することが困難になっております。
IT資産管理を適正化し、把握漏れ・対策漏れを防ぐための手段として、ASM(Attack Surface Management)を組み合わせた資産管理を行うことが有効であると考えられています。
第2章ではASMの定義と重要性について説明させていただきます。
経済産業省発行の『ASM導入ガイダンス(2023年5月)』においては、ASMとは「組織の外部(インターネット)からアクセス可能な IT 資産を発⾒し、 それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス」として定義されています。
また、ASMの具体的な活動としては、「IT資産の発見」、「リスク検出・評価」、「IT資産および対策状況の管理」の3つのステップがあり、それぞれ以下で説明させていただきます。
ドメイン名やIPアドレスをもとに外部からアクセス可能なIT資産を検出(発見)します。洗い出されたIT資産が攻撃者側からみた攻撃表面=アタックサーフェースとなります。検出方法としてはインターネットから探索し、検出を試行する方式の他、エージェント等を導入して内部から探し出す方式もこの活動の定義に含まれます。
発見した攻撃表面(IT資産)に係る情報と、そこに内在する脆弱性を検出・評価します。具体的には、対象IT資産の構成情報(利用ポート番号、OS・ソフトウェア製品名など)の収集を行い、それら情報と脆弱性情報を突合せることでリスク評価を行い、その評価結果をもとに対策要否や優先度を検討します。
ステップ2でのリスク評価結果をもとに、攻撃表面(IT資産)に係るリスク対応に取り組みます。例えば、パッチ適用するなどリスク低減策をとる場合もあれば、対策を先送りするといったリスク受容の対応をとることも考えられます。なお、前提としてこれらリスク対応については対象IT資産の所有者(組織担当者)を特定のうえ、その所有者と連携しつつ対応推進することが一般的な流れとなります。
なお、上記のような一連のASM活動は担当者による手動でのOSINT調査等にて実施すること自体は可能ですが、作業効率の面から、「ASMツール」を活用していくことが有力な選択肢となると考えられます。
「ASMツール」は効率の面で非常に有効である一方、操作に一定のノウハウが必要であったり、検出された脆弱性を適切に解釈する専門スキルが必要となる場合が多く、ただツールを稼働させるだけでは、「継続的かつ実効性のあるASM活動」を実現することは難しいと考えられます。
本来のASMツールのメリットを享受するためには自社に適したASMツールの選定が肝要となることに加えて、運用の継続性を事前に検証・評価のうえ導入していくことが重要となります。ただし、ASMの運用においては実施ステップごとに課題が存在する為、それらを認識したうえで人的リソースやスキルセットを整備・調達する必要があります。
ここではASM実施ステップごとの運用課題について一例を紹介させていただきます。
ASMツールでは調査起点(探索の種)となる自社のドメイン名やIPアドレス情報をもとに、機械的に「自社に関連するIT資産と思われる情報」をインターネット上から収集します。
ただし、あくまで機械的な処理のため、手動実行より短時間で行える反面、収集された情報の中には自社とは関連の無いIT資産情報(誤検知・過検知)も多く存在するのが実情です。
そのため、ASMツールを活用しつつ、適切に攻撃表面を把握・管理していくためには誤検知・過検知である検知物を精査・峻別する専門性と人的リソースの確保が必要となります。
ASMツールを使用し検出した自社のIT資産に対して、攻撃者目線での情報収集(利用ソフトウェア名等の構成情報収集)を行い、そこに内在するリスク評価を実施します。
このリスク評価はセキュリティ診断とは異なり、あくまでパッシブな評価(通常のWebアクセスの範囲で評価することが一般的)であり、対象機器からのレスポンスをもとにした評価となります。そのため、検出された情報をもとに追加でアナリストがOSINT調査をすることで実際にはリスクが無いことが判明するケースや、水平調査・深堀調査を行うことでより危険度が高い脆弱性が検出される場合もあります(例えば、具体的にはASMツールにより検知されたオープンポートに対して、追加のOSINT調査を行うことで、別のポート開放や内在する脆弱性が検知されるケースなど。)
上記のようにより精度の高いリスク評価を実現するためには、機械的に大量検出された情報をもとに、必要に応じ追加調査等を行ったうえで対応要否判断や優先度付けを適切に行えるスキル・人材確保が大切な要素となります。
ASMを活用した運用により実効力を持たせる為には、検出された脆弱性等のリスクについて、その対策状況を抜け漏れなく適切に管理し、優先度を付け対応していくことが重要となります。
具体的には、発見されたIT資産情報をもとに、自社内での所有者を特定のうえ、社内で連携をとりながらリスク対応を進めていく必要がありますが、特に国内外に多くのグループ会社を持つ企業においては、そもそも検出されたIT資産の所有者の特定自体が困難であるケースや、特定できたとしてもその所有者と情報連携するためのコミュニケーションパスが無い場合も考えられます。また、所有者のスキルレベルによっては脆弱性の内容、対処策をタイムリーに伝達したとしても、その内容を正しく認識するのに多くの時間を要するケースも散見されます。
このような課題に対し、自社に関連する各組織と連携しながら円滑にリスク対応を実行していくには、平時からの組織間の風通しの良さを醸成することに加え、コミュニケーション力・推進力を備えた人員の育成・確保も大切なポイントとなります。
上記の通り、ASMの導入においては攻撃表面(IT資産)の発見、関連情報の収集、リスク評価などの専門スキル面に関する課題の他、迅速かつ適切なリスク対応を実現するためのマネジメント面(組織間連携)での課題が存在します。ASMをより実効性のあるものとするためにはこれらの課題を踏まえた運用も視野に入れ導入を検討していくことが非常に重要となります。
3章に記載したような課題を踏まえたうえで、ASMをより実効性の高いものとするための手段としては、大きく2つの方式があると考えられます。1つは外部リソースやベンダサポートを頼りにASMツールを自社導入し内製運用するパターン、もう1つはセキュリティ専門企業が提供しているマネージド型のASMサービスを活用するパターンです。
1つ目の方法についてはASMツールを運用できるリソースを社内で確保のうえ、ベンダサポートなどを頼りにツールごとの特性に合わせた設定投入やチューニングを自社で行いつつ、適切な効果を発揮できるよう第2章に記載したASMの運用プロセスを回していくことが必要となります。
導入開始時は運用が大変な部分もありますが、経年でプロセス・スキルを徐々に習熟していくことにより自社内におけるナレッジ蓄積が期待できます。一方で、継続的な人材確保・品質維持の為の工夫についても自社内で構築していく必要があります。
2つ目のセキュリティ専門企業が提供しているASMサービスを活用するパターンにおいては、ASMツールに対する最適な設定投入や、IT資産・脆弱性の検出結果に対する真偽判断、リスク評価を専門アナリストが行うことで、自社の運用負荷を軽減しつつ精度の高い情報を継続的に受け取ることが可能です。
これにより企業は第2章に記載した「ステップ3.リスクへの対応」の活動に専念することができ、「ステップ1.攻撃表面の検出(IT資産の発見)」、「ステップ2.攻撃表面に係る情報収集とリスク評価」で必要となる専門スキルや人員リソースを育成・増員せずとも効果的にASMを導入することが可能となります。
なお、当社では2024年6月より「マネージドASMサービス」というサービスの提供を開始しており、多様な専門アナリストの知を集結させた高品質なサービスを提供しております。ASMについて「内製運用」と「サービス利用」のどちらを採用するか迷っている方から、具体的な要件が決まっている方まで幅広くご相談いただければと考えておりますので、ご興味があればこちらもご検討ください。
<関連サービス>