アタックサーフェス(攻撃対象領域)とは?~サイバー攻撃からデジタル資産を守るために必要なこと~
法人組織のITインフラの環境変化にともないサイバー攻撃の起点や経路となるアタックサーフェス(攻撃対象領域)が拡大しています。法人組織が留意すべきアタックサーフェス(攻撃対象領域)の課題や対策について紹介します。
深刻化するサイバー攻撃と拡大する組織のアタックサーフェス(攻撃対象領域)
近年、リモートワークやクラウドシフト、デジタルトランスフォーメーションの推進などにより、多くの法人組織においてサイバー攻撃の起点や経路となるアタックサーフェス(攻撃対象領域)が増加しています。
法人組織のITインフラの環境変化にともない、サイバー攻撃者はこれまで攻撃の主流であったメールやWebサーバをはじめとした公開サーバを経由した侵入方法に加えて、VPN機器の脆弱性やRDP(リモートデスクトッププロトコル)接続、クラウドの侵害、サプライチェーン攻撃など、攻撃経路を多様化しています。
アタックサーフェス(攻撃対象領域)とは、サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。言い換えると、攻撃者の視点から見た攻撃可能なポイントのことです。パソコン、モバイル、IoTデバイス、サーバ、VPN機器、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。また、アタックサーフェス(攻撃対象領域)は侵入起点だけでなく、侵入後に踏み台となる機器や、重要資産が保存されているサーバなども含みます。
具体的には以下のようなデジタル資産をすべて含んでいます。
・メールサーバ、メールクライアント
・PC
・IoTデバイス
・Webサーバ
・アプリケーション
・VPN機器
・サプライチェーンを構成するサービス
・クラウドサービス
さらにサイバー攻撃者グループはアンダーグラウンドマーケットにおける、企業ネットワークへのアクセス権の売買(Access as a Service)や、サービスとしてのランサムウェア(Ransomware as a Service)など、一連のサイバー攻撃に必要なタスクの分業化を行うことで、より効率的に攻撃を行う環境と体制を整えています。つまり、法人組織における防御側としての守るべきデジタル資産が拡大していく中で、攻撃側もより効率化を進めることにより攻撃も洗練されてきます。サイバー空間におけるアタックサーフェス(攻撃対象領域)がこれまで以上に拡大し、脅威も深刻化しているのです。それを裏付けるデータとして、世界中のセンサーから脅威情報を収集するトレンドマイクロのクラウド型セキュリティ基盤「Trend Micro Smart Protection Network™」では、2022年には年間を通して、約1460億もの脅威を検出しています。これは、前年比(2021年:約940億)で約1.5倍もの増加となっており、企業や組織がますます脅威に晒されている現状が明らかになっています。
アタックサーフェスマネジメント(ASM)
法人組織にとって、多様化する攻撃側の進化を妨げることは難しいですが、防御側として自分たちが守るべきデジタル資産をコントロールすることは可能です。そこで重要となってくるのが、「アタックサーフェスマネジメント(ASM)」です。拡大するアタックサーフェス(攻撃対象領域)に対して、デジタル庁の「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」やJPCERT/CCの「最近のサイバー攻撃とインシデント対応のポイント」では、まずはセキュリティ設計の時点でアタックサーフェス(攻撃対象領域)を極力減らす設計を行い、防御していくことが挙げられています。次にアタックサーフェス(攻撃対象領域)の最小化の重要性も述べられています。アタックサーフェス(攻撃対象領域)の最小化とは、外部公開するシステムをできる限り少なくすることや、内部ネットワークにおいても不要なプロトコルやサービスを制限するといったことで、侵害の可能性を低減することを指しています。また、アタックサーフェス(攻撃対象領域)を把握・管理するという観点からは、システムで使用する資材の資産管理と最新の状態の維持や、システムで使用するハードウェアやソフトウェア等の資産に関する適切な脆弱性診断の実施が推奨されています。
<アタックサーフェスマネジメント(ASM)>
●アタックサーフェス(攻撃対象領域)を減らすセキュリティ設計を施し防御する
-システム開発の企画工程からセキュリティを実装する「セキュリティ・バイ・デザイン」を取り入れる
●アタックサーフェス(攻撃対象領域)の最小化を進める
-外部公開システムや不要なプロトコルやサービスの制限
●アタックサーフェス(攻撃対象領域)の把握と管理を徹底する
-システムで使用する資材の資産管理および最新状態の維持
-ステムで使用するハードウェアやソフトウェア等の資産に対する脆弱性診断の実施
●攻撃者による悪用の防止に努める
-システムにおいて不要な機能やサービスを実装しない
※デジタル庁「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」参照
アタックサーフェスマネジメント(ASM)上の課題
トレンドマイクロが2022年に実施した調査では、法人組織の7割以上がアタックサーフェス(攻撃対象領域)の広がりについて懸念があると感じていることが判明しています。一方で、「アタックサーフェス(攻撃対象領域)が明確に定義されている」と回答した法人組織は全世界で約半数(51.3%)を占める中で、日本においては34.6%と大幅に出遅れている結果となりました。アタックサーフェス(攻撃対象領域)への懸念は感じつつも、その対策としての前提となる可視化が進んでいない状況が調査から見えてきました。
アタックサーフェス(攻撃対象領域)の可視化が難しい理由としては、以下のような事項が考えられます。
・適切なツールの欠如
・ツールが多すぎて情報のサイロ化が進行
・不透明なサプライチェーン
・動的かつ特定の期間で利用されるクラウド環境
・現代のIT環境の規模、複雑さ、分散性
・特にクラウドベンダーによる絶え間ない技術革新
・IT部門に相談、報告せずに新しい製品やサービスに投資する事業部門(シャドーIT)
・パンデミック時のリモートワークエンドポイントやシャドーITの増加
また、同調査によると、特にアタックサーフェス(攻撃対象領域)の可視化ができていない上位3つ(全世界)の領域は以下の結果となりました。クラウドインフラといった従来のオンプレミス環境とは責任の所在が異なる環境の利用や、企業の管理下にないネットワークからのアクセス(自宅や外出先など)、企業の管理が届かないネットワークからのアクセス(取引先など)、そしてサイバー空間における急激な変化に対して、自分たちが守るべき資産の把握ができていないと感じている法人組織が多いことが考えられます。環境の変化や技術革新、コーポレートガバナンスなど様々な課題がアタックサーフェスマネジメント(ASM)にも影響を及ぼしているのが分かります。しかし、アタックサーフェス(攻撃対象領域)の可視化は、リスクを確実にかつ効果的に軽減するための第一歩として、非常に重要になってきます。
<アタックサーフェス(攻撃対象領域)の可視化ができていない領域:上位3位>
1.クラウド上のデジタル資産
2.ネットワーク上のデジタル資産
3.エンドユーザのデジタル資産
法人組織に存在するアタックサーフェス(攻撃対象領域)を理解することと、アタックサーフェス(攻撃対象領域)への攻撃経路を理解しておくことは、さまざまな手口によって行われるサイバー攻撃への防御計画において重要なステップになります。一方で最終的な目的は、アタックサーフェス(攻撃対象領域)を、ビジネスに影響を与えるサイバーリスクとして可視化し管理・運用していくことです。アタックサーフェスマネジメント(ASM)を更にプロアクティブなサイバーリスクの管理として推進するには、ビジネスリスクの観点を備え、アタックサーフェス(攻撃対象領域)に存在するリスクの評価・優先度付け、リスクの軽減にわたる一連の対処となる「アタックサーフェスリスクマネジメント(ASRM)」がポイントとなってきます。
関連情報
アタックサーフェスリスクマネジメント(ASRM)を活用して企業のサイバーセキュリティを強化する方法
サイバー空間における脅威が増加し、法人組織のアタックサーフェス(攻撃対象領域)が拡大しています。本稿では、リスクアペタイト(リスクの許容)という考え方の必要性や、リスクを把握、管理する「アタックサーフェスリスクマネジメント(ASRM)」について解説します。
Trend Vision One
高度なスレットインテリジェンスとXDR機能で、メール、エンドポイント、サーバ、クラウドワークロード、およびネットワーク全体にまたがったリスクと脅威を可視化し、ゼロトラストの実現とインシデント対応を支援します。
Security GO新着記事
RansomHubとは?~2024年に登場した新興ランサムウェア攻撃者グループ
(2024年12月26日)
ランサムウェア攻撃者グループ「LockBit」の摘発の影響と今後
(2024年12月25日)