注目のアタックサーフェスマネジメント(ASM) 実行方法とそのポイントとは?
サイバー攻撃の脅威が深刻化する中、新たなセキュリティ対策のアプローチとしてアタックサーフェスマネジメント(ASM)という概念が注目されるようになりました。2023年には経済産業省の商務情報政策局サイバーセキュリティ課が「ASM (Attack Surface Management)導⼊ガイダンス」を公表するなど、アタックサーフェスマネジメントの活動は普及しつつあります。
今回は、新しいキーワードとして注目であるアタックサーフェスマネジメントについて、詳しくご紹介します。
アタックサーフェスマネジメントとは?
アタックサーフェスマネジメント(ASM)は、組織のIT資産に対する潜在的な攻撃経路を特定し、そのリスクを評価して対応を行うためのプロセスです。アタックサーフェスマネジメントの活動により、悪意を持った攻撃者が脆弱性を発見する前に対策を講じることが可能になります。
アタックサーフェスマネジメントの定義
そもそも「アタックサーフェス」とは何なのでしょうか。NISTが発行するドキュメントによれば、アタックサーフェスは以下のように定義されています。
<原文>
attack surface:The set of points on the boundary of a system, a system component, or an environment where an attacker can try to enter, cause an effect on, or extract data from, that system, component, or environment.
<筆者による和訳>
アタックサーフェスとは、システムやコンポーネント、またはIT環境の境界であり、攻撃者がそれらに侵入したり、影響を与えたり、データを抽出しようとしたりする場所のこと。
※引用:NIST「NIST Special Publication 800-53 Revision 5 Security and Privacy Controlsfor Information Systems and Organizations」P395より
つまり、アタックサーフェスとは悪意を持った攻撃者が、サイバー攻撃を仕掛ける対象を指す言葉です。たとえば企業の業務システムであれば、インターネットに公開されている領域(DMZ)などがアタックサーフェスに該当します。
アタックサーフェスマネジメントは、このサイバー攻撃の脅威を直接的に受ける場所に対して、管理・統制を図っていく取り組みです。上述した経済産業省のガイダンスでは、アタックサーフェスマネジメントは以下のように定義されます。
組織の外部(インターネット)からアクセス可能な IT資産を発⾒し、それらに存在する脆弱性などのリスクを継続的に検出・評価する⼀連のプロセス
※引用:経済産業省「ASM (Attack Surface Management)導⼊ガイダンス 外部から把握出来る情報を⽤いて⾃組織の IT 資産を発⾒し管理する」P6より
アタックサーフェスマネジメントのプロセス
アタックサーフェスマネジメントの概念を理解しやすいように、ここではアタックサーフェスマネジメントの具体的なプロセスを簡単にご紹介します。
アタックサーフェスマネジメントでは「アタックサーフェスの検出」「脆弱性に関する情報収集」「リスクの評価」「リスクへの対応」といった流れで取り組みを進めます。
- アタックサーフェスの検出
外部からアクセス可能なIT資産を検出します。 - 脆弱性に関する情報収集
発見したIT資産について、発見されている脆弱性情報を収集します。 - リスク評価
自社のIT資産に存在するリスクを評価します。 - リスクへの対応
評価結果に基づき、リスクに対して改善策を検討・実行します。
このようなプロセスにより、自社の保有するIT資産を網羅的に把握しつつ、IT資産の脆弱性を検出し、リスクへの対処を行っていきます。
アタックサーフェスマネジメントと脆弱性診断の関係性
アタックサーフェスマネジメントの概念は、従来行われてきた脆弱性診断と似ていますが、両者にはどのような違いがあるのでしょうか。両者の違いは、実施頻度と目的から整理すると理解しやすいでしょう。
実施頻度については、アタックサーフェスマネジメントでは継続的な監視と対応を実施するため、脆弱性診断よりも頻繁に実施されます。外部からの脅威や新たな脆弱性が日々発見される現代のIT環境において、常に最新の情報を把握し、即座に対応することが求められます。
一方で、脆弱性診断は定期的な間隔で実施されることが一般的であり、リスク評価やセキュリティの見直しを目的としています。
目的の観点から見ると、アタックサーフェスマネジメントは、外部からの攻撃を未然に防ぐためのプロアクティブなアプローチを重視しています。アタックサーフェスマネジメントは企業のIT資産を常に監視し、潜在的な脅威を迅速に特定して対応策を講じることで、攻撃の成功確率を低減させることを目的としています。
一方で、脆弱性診断は主に既存のシステムやアプリケーションの脆弱性を特定し、修正することでセキュリティを強化します。これにより、既知の脆弱性が悪用されるリスクを最小限に抑えることができます。
アタックサーフェスマネジメントの実行方法
アタックサーフェスマネジメントは以下の流れで進めます。
実施計画の策定
他のセキュリティ施策と同様に、アタックサーフェスマネジメントを実施する上でも実施計画の作成が重要です。具体的には以下の要素を定めます。
導入目的
「自社のセキュリティレベルを評価し、セキュリティガバナンスを強化する」「サイバー攻撃を受けやすいIT資産の管理を行う」など、アタックサーフェスマネジメントを実施する目的はさまざまです。
自社ではどのような目的でアタックサーフェスマネジメントを実施するか、整理したうえで組織内での合意形成を図ります。
調査の対象範囲
調査対象範囲は必要なリソースや予算に影響します。自社のみなのか、グループ企業も含むのか、またはサプライチェーン全体なのかを検討します。
実施方針
アタックサーフェスマネジメントの実施方針として、以下について整理します。
- 調査の実施頻度
- リスク発見時の調査方法
- 対処する脆弱性の優先順位 など
体制構築
アタックサーフェスマネジメントを実施するにあたり、運用を担当する部門・部署・担当者を決めましょう。
アタックサーフェスマネジメントにおいては、コミュニケーションスキルやレポーティングスキル、技術的なスキルが求められます。また、取り組みを実施していくにあたっては、自社のルールやセキュリティポリシーに関する知識も必要です。
上述した経済産業省のガイダンスによれば、アタックサーフェスマネジメントの実施にあたって必要とされるスキルや知識は以下のとおりです。
| 分類 | 項目 | 必要なスキル |
| ヒューマンスキル | コミュニケーションスキル | ・⼝頭もしくは⽂章にて効果的に伝聞するスキル・関係部署や担当者と折衝・協⼒する能⼒ |
| レポーティングスキル | ・技術的に難解な内容を相⼿に合わせ書き砕くスキル | |
| 英語⼒ | ・英語で書かれた情報を正確に読み解くスキル | |
| 組織・体制の知識 | 組織体制に関する知識 | ・⾃社システムの責任者やセキュリティ対応体制の知識 |
| システム構成やアーキテクチャに関する知識 | ・⾃社のシステム構成やアーキテクチャに関する知識 | |
| セキュリティポリシーに関する知識 | ・⾃社で定めた情報セキュリティのポリシーやスタンダー |
※引用:経済産業省「ASM (Attack Surface Management)導⼊ガイダンス 外部から把握出来る情報を⽤いて⾃組織の IT 資産を発⾒し管理する」P19~22より
これらのスキルや運用に必要な人員を確保できない場合は、アウトソースも検討すべきでしょう。
ツールの選定・導入
アタックサーフェスマネジメントを実施するにあたり、ツールの導入は不可欠です。一般的なアタックサーフェスマネジメントツールは以下のような機能を備え、アタックサーフェスマネジメントの運用をサポートします。
| カテゴリ | 機能 | 説明 |
| アタックサーフェスの発見 | IP アドレス・ホスト名の一覧表示機能 | ドメイン名などから、関連する IP アドレス・ホスト名の一覧を表示する。 |
| 情報収集 | 攻撃面の詳細情報表示機能 | 特定の攻撃面における詳細な情報を表示する。 |
| ダッシュボード機能 | グラフやマップなどを用いて情報をグラフィカルに表示する。 | |
| リスク評価 | リスク評価機能 | 攻撃面の危険度もしくは成熟度を評価する。 |
| レポート機能 | 評価結果のレポートを生成・出力する。 | |
| その他 | リスク対応補助機能 | 対応に優先度を付与する。 |
| ファイル出力機能 | 発見した攻撃面や脆弱性情報を CSV などで出力する。 | |
| 通知機能 | 特定の情報をトリガーとしてユーザーに通知する。 | |
| ログ機能 | ツールの操作のログを収集する。 | |
| アクセス制御 | ロールを設定し、各ユーザーの操作を制限する。 | |
| 対応状況の管理機能 | 調査中や調査済みなど、対応状況のタグを付与する。 |
※参考:経済産業省「ASM (Attack Surface Management)導⼊ガイダンス 外部から把握出来る情報を⽤いて⾃組織の IT 資産を発⾒し管理する」P14~15
ツールの選定にあたっては、以下の観点を意識しましょう。
料金体系
ツールによって料金体系は異なります。従業員数や売上、対象とする企業数、管理するドメイン数など、さまざまです。各ツールの料金体系を確認しましょう。
検出精度
アタックサーフェスマネジメントではIT資産や脆弱性を自動で検出しますが、ツールがどの程度の水準で脆弱性を検出できるか、確認しましょう。
トライアルの可否
検出精度をチェックするためにも、可能な限りトライアルを行いましょう。多くのツールは、購入前のトライアルが可能です。
調査と評価
アタックサーフェスマネジメントを実践していくにあたり、まずは自社に存在するIT資産を特定する必要があります。既存の台帳を利用するほか、管理台帳がない場合はツールを使ってアタックサーフェスを調査し、その結果から台帳を作成することもできます。
対象のIT資産に対してツールを利用することで、リスクのあるIT資産が発見されます。発見されたリスクは、一般的に「High、Medium、Low」のように段階的に提示されます。
発見された情報に基づく対処
ツールが発見したIT資産やリスクの中には誤情報が含まれている場合もあります。新たに発見した情報が自社に本当に関係しているものであるか、確認を行います。また、脆弱性の対処は限られたリソースで行うこととなるため、発見された脆弱性のうち優先度の高いものを仕分ける作業も必要です。
具体的には、以下のプロセスにて対応すべきリスクを判断していきます。
誤検知の除外
明らかに誤検知と分かる脆弱性は、担当部門に確認を依頼する前に除外します。
優先度付け
発見されたリスクに対して、脆弱性や資産の重要度に応じて対応優先度を設定します。既存の社内ルールがあればそれに従い、存在しない場合は優先度付けのルールを事前に定義しましょう。
なお、脆弱性対応の優先付けについては、以下の「脆弱性診断士スキルマッププロジェクト」より公開しているドキュメントが参考となります。新たに優先付けルールを策定する際には、こちらを参考にしてみてください。
確認・対応の依頼
優先度の高い脆弱性から、IT資産の管理者に修正や確認を依頼します。依頼方法や対処に当たって共有すべき情報項目は事前に検討しておきましょう。
対応の追跡
依頼後、脆弱性のステータスを管理し、追跡します。期日までに修正が完了していない場合には状況確認を行います。
アタックサーフェスマネジメント実行時のポイント
アタックサーフェスマネジメントを実行する際には、以下の観点を押さえておくべきです。
課題の把握
アタックサーフェスマネジメントを効果的に実行するためには、まず初めに組織のIT環境における課題の把握が重要です。以下では、よくある課題の例をご紹介します。
- IT資産の一元管理が実現できていない
- 状況不明のIT資産が存在する
- 責任者が明確でないIT資産が存在する
- 利用中のコンポーネントやサービス内容を把握できていない
- 脆弱性対応のフレームワークが整備されていない
自社にどのような課題があり、アタックサーフェスマネジメントによりそれがどの様に解決されるのかを、まず整理しましょう。
IT資産管理プロセスへの組み込み
アタックサーフェスマネジメントを効率的に行うためには、定常的に実施している組織のIT資産管理プロセスに組み込むことがポイントです。
組織において新しい取り組みを行うと、どうしても「また業務が増えるのか」という反応をされがちです。既存のプロセス内にうまく組み込むことで、IT管理者の方の負担を軽減するべきです。
アタックサーフェスマネジメントサービスの活用
自社に十分なリソースが無い場合は、アタックサーフェスマネジメントサービス(ASMサービス)の活用も検討しましょう。ASMサービスは、サービスの形でアタックサーフェスマネジメントを行ってもらえるものです。
ASMサービスを利用することで、自社内のリソースではカバーしきれない広範なリスク管理が可能になります。また、専門業者のノウハウや最新技術を活用することで、より高度なセキュリティ対策を講じることも期待できます。
まとめ
今回は、注目のキーワードであるアタックサーフェスマネジメントについてご紹介しました。
アタックサーフェスマネジメントによりいち早く脆弱性のリスクに対応することで、自社のセキュリティ強度を高め、サイバー攻撃のリスクを抑えることができます。アタックサーフェスマネジメントは組織のセキュリティ強化に有効な施策といえるでしょう。
この記事をシェア
