ネットワークにつながる全ての情報資産と脆弱性を可視化・管理するCAASM

いま注目されつつあるＣＡＡＳＭとは？
ＡＳＭとの違いとその役割

2023年5月、経済産業省からASM※1の活用方法などをまとめた導入ガイダンスが提示された。これをきっかけにASMのニーズが高まっている。一方、ガートナーが2021年に提唱したCAASM※2というセキュリティフレームワークが注目を浴びつつある。日本ではまだ聞きなれない言葉かもしれないが、グローバルではすでに数十社のセキュリティベンダーがCAASMサービスをリリースしている。今回は、ASMとCAASMの違いや、CAASMの役割について紹介する。

ASMとCAASMの違い

　ASMが主に外部から見える情報資産と脆弱性を可視化・管理するのに対し、CAASMは社内外問わずネットワークにつながる広範囲の情報資産と脆弱性を可視化・管理する。つまり、管理する対象の範囲が異なるのだ。それぞれどのようなケースに有効かは、脅威の侵入経路のうちどこの対策をしたいかによって変わってくる。

　例えばランサムウェアの場合、その侵入経路のうち約6割を占めるのがVPNの脆弱性（脆弱な認証を含む）で、ほかにリモートデスクトップやメールなどがある※3 。Emotetに代表される悪質なマルウェアや標的型サイバー攻撃の場合は、侵入経路の大半がメールだ。VPNなど外部公開している資産からの脅威の侵入リスクを低減する目的であればASMは有効である。リモートデスクトップやメールなどからの侵入も考慮した上で、ネットワークにつながる資産全体に対し、放置された脆弱性を悪用した侵入リスクを低減したいということであれば、CAASMが有効だろう。

脆弱性が放置される理由と対策

なぜ、脆弱性が放置されるのか。理由として以下のような課題がある。

●膨大な数の分散した情報資産を可視化できず、脆弱性対策に漏れが生じる。対策優先度も分からない。
●情報資産の多様化により、運用が複雑化。網羅的な対応が難しくなっている。
●セキュリティ運用の人員や専門知識の不足により、対応が追いつかない。

　CAASMは、ネットワークにつながる情報資産および脆弱性全体を可視化・管理できるため、これらの課題に有効だ。

CAASMで実現できること

　CAASMは主に「シャドーITの検出」と「リアルタイムで継続的な脆弱性対策」を実現できる。情報資産管理時の課題とリスクと併せて、CAASMの役割を紹介する。

■シャドーITの検出
＜課題＞
・エージェントをインストールしていない情報資産を把握できない。
・未把握の情報資産が外部公開されていることに気付けない。
＜リスク＞
・未把握の情報資産から侵入され、他社への踏み台にされる。
・未把握の情報資産にリスクのあるソフトウェアがインストールされている場合、マルウェア感染や情報漏えいにつながる恐れがある。
＜CAASMの役割＞
・すでに利用している各種セキュリティツールのデータ（アクセスログや通信パケットなど）も集約し未把握の情報資産（シャドーIT）を検出する。

■リアルタイムで継続的な脆弱性対策
＜課題＞
・脆弱性を突いた被害が増加傾向にあり、一瞬たりとも脆弱性を放置できない。
＜リスク＞
・人員不足や対策優先度の誤認識などにより脆弱性が放置され、サイバー攻撃を受けやすくなる。
＜CAASMの役割＞
・情報資産のセキュリティ対策状況をリアルタイムに可視化。優先度の高い脆弱性も把握できるため、効率の良い脆弱性対策を継続的に実施可能だ。

CAASM導入の具体例

　例として、CAASMツール Armisのセキュリティプラットフォーム、モバイルデバイスとアプリケーションを含む情報資産を管理する「Microsoft Intune」、インシデント管理などを一元化し運用を支援する「ServiceNow」を用いた導入イメージを図に示す。図のような環境を構築することで、情報資産の把握・管理だけでなく、検出した脆弱性への対応状況についても管理することが可能だ。

図：CAASM導入イメージ（OTデバイスを含めた情報資産のリスク管理を行う場合）

サイバー攻撃リスク低減のために

　情報処理推進機構の「中小企業の情報セキュリティ対策ガイドライン」の付録1「情報セキュリティ5か条」※4の中に、「OSやソフトウェアは常に最新の状態にしよう！」という項目がある。これが意味するところは、「OSやソフトウェアを古いまま放置した場合、セキュリティ上の問題点が解決されず、それを悪用したマルウェアに感染してしまう危険性がある。そのため、自組織のOS やソフトウェアについては、修正プログラムを適用する、または最新版を利用するべきである」ということだ。

　ランサムウェアの大半がVPNの脆弱性を利用した侵入や、Emotetに代表されるマルウェアの侵害も多いことは、「OSやソフトウェアは常に最新の状態にしよう！」が守られていないということだ。自組織の情報資産と脆弱性の可視化・管理を目的とするASMやCAASMの導入でサイバー攻撃のリスクを大幅に低減できるはずだ。

※1 Attack Surface Management：サイバー攻撃の対象となり得る資産を把握し、その脆弱性の管理を行う技術。
※2 Cyber Asset Attack Surface Management：社内外問わずネットワークにつながる広範囲の情報資産と脆弱性の可視化・管理を行う技術。
※3警察庁「令和５年におけるサイバー空間をめぐる脅威の情勢等について」図表25より
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
※4 情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン付録1：情報セキュリティ5か条」
https://www.ipa.go.jp/security/sme/f55m8k0000
001wb3-att/000055516.pdf