Attack Surface
Managementの有用性
2023年5月29日、経済産業省から「ASM(Attack Surface Management)導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」が発行された。ASMは「組織の外部からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセス」を指す。本連載では、同ガイダンスでASMと同義として扱われるEASM※1 について、クラウドの脆弱性可視化やランサムウェアの侵入を防ぐ脆弱性対策の一環として、その有用性を紹介してきた。今回は、同ガイダンスの内容を読み解きながら、ASMの導入前に知っておいてほしいポイントを紹介する。
ASMが必要とされる背景
日本国内でデジタルトランスフォーメーションが進展する中、サイバー攻撃の起点が増加している。要因としては、企業のクラウド利用の拡大や企業が所有するIT資産の増加、点在などが挙げられ、社会全体のリモート化(テレワークの拡大など)も影響しているだろう。
実際に、情報システム部門で管理できていないクラウド環境やリモート接続環境における脆弱性パッチ未適用、リスクのある設定の放置などによりサイバー攻撃を受ける被害事例が後を絶たない。こうした脅威に対して、保有IT資産の管理やリスクの洗い出しが求められており、それを支援する有用なツールであるASMの導入ガイダンスが公開されたのだ。
ASMの導入前に知っておいた方が良いこととして、ASMのプロセス、脆弱性診断との違い、機能概要がある。これらについて、同ガイダンスの内容をベースに説明していこう。
ASMは主に下記三つのプロセスでリスクの検知・評価を行う。
①攻撃面の発見
ドメイン名を基に、DNS(Domain Name System)などを利用して、企業の保有するIPアドレス・ホスト名の一覧を取得
②攻撃面の情報収集
①のプロセスで発見したIT資産の情報(OS、ソフトウェア、バージョン、ポート番号など)を収集
③攻撃面のリスク評価
収集した情報を基に、既知の脆弱性情報と突合し、脆弱性が存在する可能性(リスク)を評価
なお、ASMが行うのはリスクの評価までで、リスクへの対応は、ASMのプロセスには含まれていない。しかし、脆弱性管理全体を考えるとリスクへの対応は必須要件であり、対応要否の判断基準や対応体制を整えておくことが重要だ。
ASMで脆弱性を検知し迅速な対応を
ASMは脆弱性診断とどう違うのか? と思われた方もいるだろう。どちらも脆弱性などのリスクを検出・評価するという意味では同じだが、診断の対象や脆弱性に関する情報の正確性の点で違いがある。ASMは企業で把握できていないものも含め、企業が保有するIT資産を対象とするが、脆弱性診断は把握済みのIT資産を対象としている。
また、ASMはIT資産の動作に支障を及ぼさない範囲で調査を行うため、深い診断を行うことはできない。そのため、IT資産に含まれている可能性のある脆弱性情報を提示するにとどまる。あくまでも脆弱性が存在する可能性を示すレベルであり、脆弱性を特定しているわけではない。それに対し、脆弱性診断は疑似攻撃を行い、より深い調査を行う。
図2にASMツールの機能をプロセスごとに示す。運用性の観点から特に重要となるのは基本機能のほか、特定の事象が発生した際に通知する「通知機能」や、調査中・調査済みなどユーザーの対応状況ごとにタグを付与する「対応状況管理機能」だ。
当社でもこれらを可能とするASMサービス「CyCognito」を運用し定期的に診断を行っている。活用シーンとしては、例えばOSやWebサーバーソフトウェア、VPNソフトウェアなどで優先度の高い脆弱性が発見された場合、前述した通知機能により当社管理のIPアドレスの中に該当する脆弱性があるかどうかを即時通知するため迅速な対処が可能となっている。また、対応状況管理機能では、頻繁に公開される脆弱性への対策状況の管理を支援してくれる。
なお、ASMツールによっては、情報収集する際に対象環境に負荷をかけてしまう可能性があるため、他社など企業外で管理・運用しているシステムを対象にする場合などは、事前に対象企業の承諾を得るなど、是非とも注意してほしい。
脆弱性管理はセキュリティ対策の基本
企業で発生しているインシデントの多くがIT資産管理の不行き届きや脆弱性が発端となっているが、脆弱性管理ができていれば多くの事故は防げるはずだ。ASMの導入について経営層の説得が必要な場合は、導入により前述のようなインシデントの発生リスクを抑えられること、担当者の負荷も軽減できることなどを、ガイダンス内の事例も交えて説明すれば、理解を促せるだろう。今後、ASMの導入が進むことを筆者は願う。
※1 External Attack Surface Management:インターネットに公開されている攻撃対象となり得る資産を把握しその脆弱性の管理を行う技術。
参考文献1:経済産業省「『ASM(Attack Sur face Management)導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜』を取りまとめました」(2023年5月29日)
参考文献2:経済産業省「ASM (Attack Surface Ma nagement)導入ガイダンス〜外部から把握出来る情報を用いて自組織のIT資産を発見し管理する〜」(2023年5月29日)
早稲田大学グローバルエデュケーションセンター 非常勤講師
日立ソリューションズ セキュリティソリューション事業部 企画本部
セキュリティマーケティング推進部 Security CoEセンタ長 シニアエバンジェリスト
扇 健一 氏