ASMの重要性がなぜ高まっているのか?

OSINTに触れた際にもお話しましたが、サイバー攻撃を行う者は、公開された情報を最大限に活用してきます。上場企業などが人事情報を公開しなくてはならなかったり、組織のビジネスのためやむを得ず開示する情報はあり得ますが、インターネット上で活動をする以上、その仕組みから公開が必須となるものもあります。

例えば、企業のドメイン名であったり、それに紐づくIPアドレスなどがその一例です。現代の社会では、インターネットの利活用を抜きにしては業務が成り立たないことが殆どですので、インターネットの仕組みとして必須となるこれらの情報は自ずと公開されることになります。

そして、昨今のオンプレミスからクラウドへの移行や、急速なリモートワークへの業務形態の変化はこれに拍車をかけています。これまでの境界型防御の世界では、ファイアウォールを隔てて内部と外部に分けていただけの世界が、クラウドやリモートワークによって、外の世界に拡散しているのです。そのため、このような攻撃者が攻撃の糸口として悪用できる、公開しなくてはならない情報が日々拡大しているといえます。

このような公開ポイントは、攻撃表面(アタックサーフェス)と呼ばれます。これは攻撃者がその存在を認知し、攻撃を物理的に行うことができるポイントになりますので、セキュリティ対策をきちんと施すことがとても大切になります。そのため、このアタックサーフェスを管理することが重要視されており、それをASM(Attack Surface Management)と呼んでいます。

ASMを行うにあたって重要なことは、攻撃者と同じ目線で管理をするということです。守る側の組織が気が付かない間にアタックサーフェスが拡大していて、攻撃者だけがそれに気がつき悪用する、そういった事態を避ける必要があるといえます。特にクラウドサービスが普及してからは、簡単にシステムをクラウド上に構築して利用することが容易になりました。これまでは企業の情報システム部門などが管理していた範囲ではなく、勝手に各事業を行っている部門が独自にクラウドサービスを契約して利用してしまう、といったケースが増えています。この組織的に管理されてない状態で利用されているITサービスを、「シャドーIT」と呼びます。

シャドーITは、セキュリティ上大きな問題になる可能性を孕んでいます。全社的に統一したセキュリティ対策を施していても、セキュリティを管理している部門の預かり知らぬ所で構築されたシステムは、その対策が充分行き届いていないケースがあります。そして、それにセキュリティ管理者が気が付かないことが起こり得ます。そこを攻撃者が先に見つけてしまった場合、脆弱性などを突いた攻撃を行い、インシデントにつながってしまうのです。そのため、ASMにより、攻撃者と同じ視点に立ち管理することが重要なのです。

継続的に管理するASM

ASMで重要なことは、前述の通り、攻撃者と同じ目線に立つことですが、継続的に常時監視することが挙げられます。先ほどのクラウドサービスを各部門が勝手に使ってしまう例のように、日々アタックサーフェスは変化するためです。そのため、リアルタイムに近いASMの管理・監視が求められています。

この点は、脆弱性診断やペネトレーションテストとは性質が異なります。これらは混同しやすいサービスですが、診断範囲と深さが異なるサービスであり、どちらかだけを行えば良いというものではありません。

脆弱性診断やペネトレーションテストは、診断やテストを行う対象を絞り、より深く脆弱性を調査します。ここで重要なのは、対象を絞るということは、管理者が存在を認識していないものは診断・テストの対象にできないということです。つまり、シャドーITに対しては行うことができない、と言い換えることができるでしょう。その点、ASMソリューションでは、攻撃者の視点から、シャドーITの探索を行いますので、これに気がつくことができます。しかし、常時システムに負荷をかける診断を行うことは、現実的ではありません。予期せぬ問題が発生する可能性があるからです。そのため、ASMの診断は一般的に表層的なものになります。低負荷であり、影響を与える可能性が低くなります。

人間に例えるならば、ASMは健康診断のようなもので、広く網羅的に病気の有無を診断します。一方の脆弱性診断やペネトレーションテストは、精密検査のようなもので、疑わしい特定の部位を徹底的に診断します。このように、ASMと脆弱性診断・ペネトレーションテストは使い分けがされます。

内部向けのASMも存在

このようにインターネットネット越しに攻撃者視点からアタックサーフェスを調査するのがASMですが、内部ネットワークに対してこの考えを導入することもできます。これをIASMと呼びます。IはInternalの頭文字を取ったものです。これに対して外部から行うASMをEASMとも呼びます。Eは外部を意味するExternalの頭文字になります。このように、ASMは活用範囲も応用が効くような考え方になっており、組織を防御するにあたっては有効なソリューションになっています。

また、近年ではサプライチェーンの管理にもこのASMが活用されています。ビジネス上の取引先全てを広く網羅するように利用することで、より安心した商取引が可能になるというわけです。これを脆弱性診断で行おうとした場合、莫大なコストと時間がかかり、動的に変化するアタックサーフェスにセキュリティ対策を追従させることが難しくなります。

まとめ

ASMは、攻撃者と同じ目線に立ち、リアルタイムに近い形で、攻撃の起点となる公開ポイントである、アタックサーフェスを管理するための考え方です。脆弱性診断やペネトレーションテストより浅く診断は行われ、より広い範囲に対して実行されます。そのため、シャドーITを発見することもできるようになります。

また、外部からインターネット越しに行うたけではなく、内部での利用に考え方を適用することもできます。

クラウドサービスやリモートワークの急速な利用拡大により、アタックサーフェスは常に広がっています。ぜひASMソリューションを有効活用して、インシデントの予防に努めることが急務だと言えるでしょう。

ソリューション テクノロジー