サイバー脅威
デジタル環境のアタックサーフェス(攻撃対象領域)を理解する
トレンドマイクロの最新調査から、増大するデジタル環境で攻撃を受けやすい領域(以下、アタックサーフェス(攻撃対象領域))に対してサイバーセキュリティのリスク管理に苦慮する企業の実態が明らかになりました。
トレンドマイクロの最新調査から、増大するデジタル環境で攻撃を受けやすい領域(以下、アタックサーフェス(攻撃対象領域))に対してサイバーセキュリティのリスク管理に苦慮する企業の実態が明らかになりました。
デジタル環境のアタックサーフェス(攻撃対象領域)を理解する
2021年5月、米国の石油パイプライン関連企業Colonial Pipeline社がサイバー攻撃を受け、ランサムウェアの脅威がメディアに大きく取り上げられました。ホワイトハウスまでがこの事件に注目し、その後、米国政府によりグローバル企業のセキュリティ体制を強靭化するための取り組みが強化されました。今やサイバーリスクの管理は組織のセキュリティにおいて、優先的に取り組むべき課題として据えられるようになりました。
Colonial Pipeline社を攻撃したサイバー犯罪者は、セキュリティの重要性を広く再認識させたという点では意図せずしてセキュリティ業界全体に利益をもたらしたと言えるかもしれません。しかしサイバーリスクの管理の重要性を認識することと、それを実践することは別物です。
実践に際して企業は何から手をつければよいのでしょうか。その答えは『アタックサーフェス(攻撃対象領域)の理解』にあります。しかし残念ながら、トレンドマイクロが日本を含む29の国と地域を対象に行った最新の調査によると、企業の半数(51.3%)がこのマッピングの理解さえできておらず、さらに多くの企業がそうした領域の可視性についてのセキュリティギャップを認識していることが明らかになっています。
デジタル環境の攻撃対象領域とはどのような場所か
アタックサーフェス(攻撃対象領域)とは、サイバー攻撃を受ける可能性があるデバイスやソフトウェアを指します。リモートやローカルにかかわらず、攻撃者によって侵害される可能性のある以下のようなデジタル資産をすべて含んでいます。
- パソコン
- モバイル
- IoTデバイス
- サーバ
- VPN機器
- クラウドサービス
- サプライチェーンを構成するサービス
また、アタックサーフェス(攻撃対象領域)は侵入起点だけでなく、侵入後に踏み台となる機器や、重要情報が保存されているサーバなども含まれます。
なお、各組織によって「アタックサーフェス(攻撃対象領域)」の定義は異なる可能性があります。参考となる情報として別機関における定義を以下に引用します。
各機関における「アタックサーフェス(攻撃対象領域)」の説明
NIST:The set of points on the boundary of a system, a system element, or an environment where an attacker can try to enter, cause an effect on, or extract data from, that system, system element, or environment.(参照ページ)
JPCERT/CC:アタックサーフェス(攻撃対象領域)は、攻撃者がシステムに侵入したり、データを持ち出したりする可能性のある各種ポイントのすべてを表します。(参照ページ)
デジタル環境への攻撃に際しては、フィッシングから脆弱性の悪用まで、さまざまなツールやテクニックを駆使した活動が展開されます。そして対象となるネットワーク内に侵入した攻撃者は、さらなるリスク領域を狙って水平移動・内部活動を繰り広げます。
トレンドマイクロの「2021年年間セキュリティラウンドアップ」では、こうした観点から今日の企業や組織がどれほど危険にさらされているかを明らかにしています。
可視化の難しさ
サイバーセキュリティの業界では「見えないものは守れない」とよく言われていますが、アタックサーフェス(攻撃対象領域)についても同じことが当てはまります。そのため、デジタル環境でアタックサーフェス(攻撃対象領域)となるすべての資産を可視化することは、深刻なセキュリティ侵害のリスクを軽減するための重要な第一歩といえます。しかしこの実践は簡単なことではありません。今回実施した最新調査によると、組織は「自社のアタックサーフェス(攻撃対象領域)の内62.2%しか可視化できていない」と推測されます。また回答者を日本だけに絞った場合には可視化できている領域は55.1%まで低下します。そして実際の数値は、もっと低い可能性があります。なぜ企業はこうした事態に直面しているのでしょうか。以下のようないくつかの理由が考えられます。
- 適切なツールの欠如
- ツールが多すぎて情報のサイロ化が進んでいる
- 不透明なサプライチェーン
- 動的かつ特定の期間で利用されるクラウド環境
- 現代のIT環境の規模、複雑さ、分散性
- パンデミック時のリモートワークエンドポイントやシャドーITの増加
アタックサーフェス(攻撃対象領域)の特定
そもそもアタックサーフェス(攻撃対象領域)の可視化に当たっては、まずは自社のアタックサーフェス(攻撃対象領域)を明確に定義する必要があります。しかしビジネスにおけるデジタル技術の導入が迅速かつあらゆる領域で発生する今日、領域の明確な定義すらも容易ではありません。実際に、上記の調査においても自組織のアタックサーフェス(攻撃対象領域)が明確に定義されていると認識する組織は全回答者の内約半数(51.3%)で、日本だけに絞った場合には3割(34.6%)程度となっています。
組織が多種多様なデジタル技術を採用することに応じて、攻撃者の侵害手法もその複雑さを増しています。その為、アタックサーフェス(攻撃対象領域)の特定には攻撃シナリオを起点とした評価方法が必要となっています。例えば、攻撃シナリオを「ランサムウェアによって、自社資産が暗号化される」として想定してみます。攻撃者はまず、VPNなどのネットワーク機器を悪用して組織のローカルネットワークに侵入します。次に、特定のエンドポイントを侵害し、攻撃基盤とする可能性があります。また侵入後には、暗号化する価値の高い情報を捜索する目的で、侵害端末からアクセス可能な別の端末に横展開していく恐れがあります。横展開の際にアクセス可能になった情報は窃取され、外部送出されます。工作活動に気づかれない為に、セキュリティソフトを停止させるかもしれません。可能な限り侵害が終了した時点でランサムウェアを拡散させて実行することにより、端末やサーバが一斉に暗号化され、脅迫文が各端末上に浮かび上がります。このシナリオでは、VPN機器、ネットワークLAN、PC端末、価値の高い情報を持つ別の端末、セキュリティソフトなどがアタックサーフェス(攻撃対象領域)として定義でき、ようやく可視化することが可能になります。
シナリオベースのリスク管理で明らかになる「可視化すべきアタックサーフェス(攻撃対象領域)」
このような想定される攻撃シナリオをベースとした評価により、自組織において可視化すべきアタックサーフェス(攻撃対象領域)が明らかになります。特定のアタックサーフェス(攻撃対象領域)における可視性の欠如は、サイバーセキュリティのスキル不足によってさらに悪化し、拡大する攻撃対象領域を管理することがますます困難になっています。そうした中、前述のアンケート調査でも、ITおよびビジネスリーダーの約4分の3(73.3%)が「デジタルアタックサーフェス(攻撃対象領域)の大きさを懸念している」という結果が出ており、回答者を日本に限定した場合もほぼ同様の結果(71.7%)となっています。また、半数近く(43.0%)が「制御不能になりつつある」とし、同じく半数以上(53,7%)が「リスク露出を評価する方法が十分に洗練されていない」と認めています。
CISO(最高情報セキュリティ責任者)は、デジタル環境でアタックサーフェス(攻撃対象領域)となり得るすべての資産を可視化し、その情報に基づいてリスクの露出度を継続的に把握しておく必要があります。さらにセキュリティ部門に過剰な負担をかけることなく、これら資産全体への脅威を防止、検出、対応する適切なツール提供の施策を講じる必要もあります。
しかし多くの企業では、複数のツールが重複もしくは分離しているため、データのサイロ化や可視性のギャップが生じ、圧倒的な数の誤検知を引き起こしています。
さらに、セキュリティ部門でのアラートの優先順位選定等が負担となり、結果として重要度の高い脆弱性の検出、調査、対応に遅れが生じ、サイバー犯罪者が内部活動による攻撃を仕掛ける時間猶予を与えてしまうことになります。
全体を可視化する統合セキュリティプラットフォーム
こうした課題に対処する上では、プラットフォームベースのアプローチが大きな効果をもたらします。「統合サイバーセキュリティプラットフォーム」は、エンドポイント、メール、クラウドワークロード、ネットワークにまたがるXDRテレメトリにより攻撃対象領域全体を把握できます。また最新のリスク傾向や脆弱性情報を駆使して、それぞれのリスクの露出度を評価した上で、各リスクを軽減するための制御を自動的に展開することが可能となります。その結果、より正確な少ない数のアラートによって、セキュリティ担当者は戦略的に重要な業務に専念できるようになります。またこれにより、複数のポイントをカバーする為の複数のソリューション管理コストを削減することも可能となり、セキュリティ対策と企業のビジネスゴールとの整合性を図ることができます。
昨今、地政学的な不安定さが深刻化する中、サイバーリスクの軽減は企業にとってますます優先的に取り組むべき課題となっており、より革新的なセキュリティ対策が求められています。
「統合サイバーセキュリティプラットフォーム」の利点に関する詳細については、以下の記事(英語)もご参考ください。
参考記事:
• 「Why It’s Time to Map the Digital Attack Surface」
By: Bharat Mistry
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)