アタックサーフェスマネジメント(ASM)とは、攻撃者の視点からサイバー攻撃が行われる可能性のある組織のアタックサーフェス(攻撃対象領域)を把握し、セキュリティを強化する取り組みや技術です。アタックサーフェスに対するリスクの把握、評価、軽減を継続的に実践するアタックサーフェスリスクマネジメント(ASRM)を取り入れることで、組織の事業継続を脅かすインシデントの発生を抑えます。
アタックサーフェスマネジメント(Attack Surface Management: ASM)を理解するうえで、はじめにアタックサーフェス(攻撃対象領域)が何を意味するのか知っておく必要があります。
アタックサーフェスは、アメリカ国立標準技術研究所(NIST: National Institute of Standards and Technology)が定義している通り、攻撃者の視点からサイバー攻撃が行われる可能性があるデジタル資産やサービス、環境を指します。具体的には、クライアント端末、モバイル端末、IoTデバイス、サーバ、VPN機器といったネットワーク機器などに加えて、ソフトウェア、クラウドサービス、サプライチェーンを構成するサービスなどがあげられます。
アタックサーフェスについて、外部に公開されているデジタル資産をExternal Attack Surface、組織のネットワーク内部に存在するデジタル資産をInternal Attack Surfaceと分類されることがあります。
従来の対策では、侵入経路/入口防御の観点から外部公開されているアタックサーフェスのみが重視される傾向にありました。しかし現在では、後述のとおり、ビジネス環境の変化やサイバー攻撃の高度化により、攻撃者の組織内への侵入を前提とした対策が当然になっています。このため、外部公開されているデジタル資産だけでなく、攻撃者に悪用されうる内部のデジタル資産をすべて含めて、アタックサーフェスとして取り扱う必要があります。
アタックサーフェスマネジメントは、組織において守るべきデジタル資産を可視化したうえで、継続的な監視を行うことで、アタックサーフェスが時間の経過と共にどのように変化しているのか把握し、セキュリティを強化する取り組みです。一方で、日々変化する組織のアタックサーフェスを手動で管理することは時間や労力が掛かるため現実的ではありません。そのため、持続可能なアタックサーフェスマネジメントの実現には「自動化」によって一連のプロセスをサポートする技術が重要です。
アタックサーフェスマネジメントをサポートする技術では主に以下のような機能を提供します。
なお、外部に公開されているデジタル資産を対象としたアタックサーフェスマネジメントについては、External Attack Surface Management (EASM)と紹介されることもあり、アタックサーフェスマネジメント=EASMと取り扱っている機関もあります。経済産業省からも、外部からアクセス可能なデジタル資産を対象としたアタックサーフェスマネジメントの導入方法のガイダンスが公開されています。
「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」(2023年5月、経済産業省)
ここでは前述のアタックサーフェスの定義に則り、サイバー攻撃者に悪用され得るすべてのデジタル資産を、アタックサーフェスマネジメントの対象とします。
アタックサーフェスマネジメントが組織に求められる理由は主に2つあります。
このように防御側のIT環境が複雑化したことと、攻撃側の攻撃手法が巧妙化したことにより、各組織はサイバー攻撃が事業停止に繋がらないように、常日頃からアタックサーフェスの状態を把握し、攻撃が行われる可能性や万が一攻撃が行われた際の事業への影響を軽減するための対策を行う必要があります。つまり、インシデントが発生してからではなく、事前にそのリスクを抑制する取り組みが求められています。
一方でアタックサーフェスの把握やそのリスクの継続的な管理は、主に以下の3つの課題から実践するのが難しいと多くの組織が感じていることから、アタックサーフェスマネジメントをサポートする技術が求められています。
図:アタックサーフェスの管理における上位3つの課題
「デジタル環境のアタックサーフェス(攻撃対象領域)を理解する」(2022年、トレンドマイクロ)
アタックサーフェスマネジメントを実践するうえで、特に重要になるのが、自組織のアタックサーフェスを把握した後の、そのアタックサーフェスに対する「リスクマネジメント」の取り組みになります。アタックサーフェスマネジメントの技術のなかには、その提供機能がアタックサーフェスの把握のみに留まり、リスクの評価や軽減が含まれない場合があります。
経済産業省の「サイバーセキュリティ経営ガイドライン Ver3.0」において、サイバーセキュリティでは経営リスクの一環としてリスクマネジメントの実践が求められています。そのため、トレンドマイクロでは、リスクという要素がサイバーセキュリティにおいて特に重要であることから、リスクマネジメントを加味したアタックサーフェスマネジメントのことを、アタックサーフェスリスクマネジメント(Attack Surface Risk Management: ASRM)という用語で取り扱います。
「サイバーセキュリティ経営ガイドラインと支援ツール」(2023年5月、経済産業省)
アタックサーフェスリスクマネジメントでは、前述のアタックサーフェスマネジメントの機能に加えて、リスクの「把握」、「評価」、「軽減」の機能を提供します。
アメリカ国立標準技術研究所のNISTではNIST SP800-30「Guide for Conducting Risk Assessments」が公開されており、リスク評価の方法について体系的にまとめられています。
組織においてアタックサーフェスリスクマネジメントを導入する際には、アタックサーフェスのリスクの要因となる参考情報を網羅的に収集できること、確立された方法でリスクを定量的に評価すること、そして、リスクに対する軽減策を実行するといったサイクルを継続的に実現できる技術の採用が重要になります。
図:アタックサーフェスリスクマネジメントによる自組織のリスクレベルの可視化
アタックサーフェスリスクマネジメントでは、平時からサイバー攻撃や侵入の可能性を低減することで、事業継続に影響する重大なインシデントの発生を抑制します。一方で、昨今のサイバー攻撃の高度化により、侵入を前提とした対策が推奨されており、XDR(Extended Detection and Response)といった技術が脅威の検知や対応をサポートします。アタックサーフェスリスクマネジメントは、インシデント発生前のプロアクティブな対策であり、XDRはインシデント発生後のリアクティブな対策という位置づけになりますが、この2つは密接に連携すべき技術です。
例えば、平時からアタックサーフェスリスクマネジメントによりリスクを監視し、インシデントの発生数を減少することで、結果として、XDRを利用したインシデントに対するリアクティブな対応負荷の軽減に繋がります。また、XDRで検出した攻撃の痕跡の情報を平時からリスクの評価対象としてアタックサーフェスリスクマネジメントに共有しておくことで、より精度の高いリスクスコアの算出に寄与します。
このように、アタックサーフェスリスクマネジメントとXDRは別の技術ですが、相互に情報を共有して補完しあうことで、インシデントの減少や対応負荷の軽減に繋がるといった相乗効果を持った関係性となるため、2つの技術の相互補完が実現できるプラットフォームの存在が重要になります。
図:アタックサーフェスリスクマネジメント(ASRM)とXDRの関係性
サイバー空間における脅威が年々増加し巧妙化していることに加えて、組織のIT環境が複雑化していることで、アタックサーフェスは今後も拡大していくことが考えられます。そのため、組織のセキュリティ戦略において、アタックサーフェスマネジメントは重要な一角を占める活動となります。また、アタックサーフェスに対するリスクの「把握」、「評価」、「軽減」といったマネジメントのサイクルを継続的に実行するアタックサーフェスリスクマネジメントを採用することで、事業継続を脅かす重大なインシデントの発生を事前に抑えることに繋がります。
サイバー空間における脅威が増加し、法人組織のアタックサーフェスが拡大しています。本稿では、リスクアペタイト(リスクの許容)という考え方の必要性や、リスクを把握、管理する「アタックサーフェスリスクマネジメント(ASRM)」について解説します。
アタックサーフェスマネジメント(ASM)のトピック
関連記事