• サポート
  • ログイン
  • お問い合わせ
  • ブログ
  • Japanese
  • English
  • French
  • サポート
  • ログイン
  • お問い合わせ
  • ブログ
SecurityScorecard SecurityScorecard
  • 製品とサービス
    製品
    • Security Ratings (セキュリティレイティング)
      10 種類のリスクファクターにおけるセキュリティの強みを特定します。
    • Security Data (セキュリティデータ)
      実践的で、データに基づいた知見を入手できます。
    • Security Assessments (セキュリティアセスメント)
      セキュリティアンケートの交換を自動化できます。
    • Automatic Vendor Detection (自動ベンダー検出)
      NEW
      サードパーティベンダーおよびフォースパーティベンダーを発見します。
    • Cyber Risk Quantification (サイバーリスク定量化)
      サイバーリスクを金額に換算する
    • Reporting Center (レポーティングセンター)
      サイバーリスクレポーティングを簡素化できます。
    • SecurityScorecard Marketplace
      事前に構築された統合機能を見つけて導入できます。
    サービス
    • Active Security Services
      セキュリティコントロールのテストを行います。
    • Cyber Risk Intelligence
      提携して有意義な脅威インテリジェンスを手に入れましょう。
    • デジタルフォレンジック
      あらゆる脅威に対応する準備ができます。
    • サードパーティリスクマネジメント
      ベンダーエコシステム全体のリスクを低減できます。
    今すぐ購入
    • 無料アカウントを試してみる
      情報に基づく意思決定を自信を持って行えます。
    • エンタープライズ版デモを依頼する
      企業向けプランの機能の導入事例をご覧いただけます。
    icon__SSClogoMark icon__SSClogoMark

    SecurityScorecardでリスクを把握し、低減できます。

    無料アカウントに登録する
  • ソリューション
    ユースケース別
    • コンプライアンス
    • サイバー保険
    • デジタルフォレンジック
    • デューデリジェンス
    • 企業サイバーリスク
     
    • 経営陣向けレポート
    • インシデント対応
    • 各種規制への対応
    • サードパーティリスク
    業種別
    • エンタープライズ又は一般企業
      英語サイトへ
    • 金融サービス
      英語サイトへ<
      企業向けプランの機能の導入事例をご覧いただけます。
    • 政府機関
      英語サイトへ<
    • 保険
      英語サイトへ<
     
    • 小売り業及び消費者向けサービス
    • テクノロジー

    企業のリスク計算をサポート

    無料アカウントに登録する
  • 顧客
    導入顧客
    • 顧客概要
      英語サイトへ
      あらゆる業種、規模の企業から信頼されています。
    • 導入済みのお客様からの評価
      英語サイトへ
      お客様の声をお聞きください。
    成功とサポート
    • カスタマーサクセス
      英語サイトへ
      受賞歴のあるカスタマーサービスを受けられます。
    • サポート
      英語サイトへ
      ご不明な点は専門家に相談できます。
    コミュニティ
    • SecurityScorecard Connect
      Engage in fun, educational, and rewarding activities.
    • ログイン
      お客様専用のセキュリティレイティングプラットフォームへログイン
    icon__SSClogoMark icon__SSClogoMark
    SecurityScorecardでリスクを把握し、低減できます。
    無料アカウントに登録する
  • パートナー

    パートナープログラムの概要

    サイバーセキュリティレイティングのグローバルリーダー、SecurityScorecardと提携し、ソリューションを拡張し、実現する価値を高め、新しいビジネスを獲得しましょう。

    詳細情
    • パートナーを探す
      英語サイトへ
      業界最先端のパートナーネットワークにアクセスできます。
    • テクノロジーアライアンス
      英語サイトへ
      リーディングプロバイダーの革新的なソリューションにアクセスできます。
    • SCORE ポータルログイン
      英語サイトへ
      SCORE パートナープログラムを使用して事業を拡大できます。
    • SecurityScorecard マーケットプレイス
      SecurityScorecard エクスペリエンスを拡張する信頼できるソリューションを探せます。
  • リソース
    リソース
    • リソースセンター
      サイバーセキュリティに関する電子書籍、データシート、ウェビナーなどをご覧いただけます。
    • SecurityScorecard ブログ
      セキュリティ リスク レイティングに関する様々なブログを掲載しています。
    • リサーチおよびインサイトセンター
      新規
      最新の業界トレンドおよびセクター開発に関する調査にアクセスできます。
    • SecurityScorecard アカデミー
      新規
      認定コースを修了し、業界で注目されているバッジを獲得しましょう。
    ツールおよびドキュメント
    • 無料のセキュリティレイティング
      英語サイトへ
      カスタマイズされたセキュリティスコアで無料のレイティングレポートを取得できます。
    • 製品リリースノート
      最新のリリースノートについては、サポートポータルにアクセスしてください。
    • 無料アカウントに登録する
      今すぐサイバーセキュリティ体制のモニタリングを開始しましょう。
    信頼は、透明性から始まります。私たちのレイティングを駆動するデータをのぞいてみませんか。
    詳細情報
  • 企業情報
    • 会社概要
      SecurityScorecard は、セキュリティレイティングでグローバルリーダーとして評価されています。
    • 経営陣
      英語サイトへ
      世界のセキュリティ環境の安全性を高めているチームをご紹介します。
    • プレス
      英語サイトへ
      最新のプレスリリースや報道をご覧いただけます。
    • イベント
      英語サイトへ
      開催予定の業界イベントにご参加ください。
    • 採用情報
      今すぐ応募する
      SecurityScorecard チームに参加しませんか?
    • お問い合わせ
      ご質問、ご不明な点、お気づきの点がございましたら、ご連絡ください。
    • 信頼性ポータル
      私たちのテクノロジーを推進するデータの内側をのぞいてみませんか。
    • ヘルプセンター
      英語サイトへ
      ご不明な点やお困りのことがありましたら、お気軽にご相談ください。
お問い合わせ

「Attack Surface Management」を実践するには?

発行日:2021年9月24日



皆様は、「Attack Surface Management」という用語を聞いたことがあるでしょうか。

実は、私も最近、耳にするようになった言葉なのですが、当たり前のようでこれまでちゃんと語られなかった用語なので、、このブログで皆様と一緒に掘り下げてみたいと思います。

「皆様が所属している組織では、侵害が発生する可能性を把握するためには、どのような視点を持ったらよいでしょうか?」

抽象的な質問で、答え方も様々ありますが、以下のような回答は、皆様にどのように響くでしょうか。

「自組織が保有するデジタル資産の中で、“攻撃者から接点を持たれる可能性のある資産”に着目する。」

“攻撃者から接点を持たれる可能性のある資産”。つまり、“外部に公開しているデジタル資産”に着目するということです。

組織における侵害発生の可能性、サイバー攻撃を受ける可能性は、その組織が外部に公開しているデジタル資産(IPアドレスやドメインなど)にセキュリティ的に脆弱な点が多く存在すればするほど高まる、というのは容易に想像がつくと思います。

その“組織が外部に公開しているデジタル資産に存在するセキュリティ的に脆弱な点”に注目して、セキュリティリスクをマネジメントしようとする取り組みが、「Attack Surface Management」です。

文字にすると、当たり前のように感じますが、実は、今までに存在しなかった新たな概念ではないでしょうか。



「Attack Surface Management」を実践するには?

「Attack Surface Management」を実践するにはどのようなステップで取り組めばよいでしょうか。

まずは、組織が保有しているデジタル資産の中で、外部に公開された状態にある資産を把握します。

ただ、この対象となる資産は、組織の資産台帳で管理されているデジタル資産だけでは不十分なことが多いのです。

例えば、シャドーIT。この言葉が生まれてから、久しいですが、未だにこのシャドーITの把握/管理に頭を悩ませている組織も多いと耳にします。ただ、攻撃者の接点になりかねないというリスクがある以上、「Attack Surface Management」の観点からも、把握しておかなければならない資産であることは間違いないです。

また、“シャドーIT”とは概念が異なりますが、組織が利用しているCDN(Content Delivery Network)の存在なども気に掛けないとなりません。組織が業務上で利用しているCDNにセキュリティ的に脆弱な点が存在したらどうしますか。CDNは、攻撃の対象となり、その脆弱な点を踏み台にして、社内にまで攻撃が浸潤する可能性は十分にあるため、資産管理上は自社の保有資産に該当しないものの、セキュリティリスクマネジメントの観点では、把握すべきです。

このように、「組織が保有しているデジタル資産の中で、外部に公開された状態にある資産」を、既存の資産台帳への掲載の有無にかかわらず、可能な限り広い範囲で該当するデジタル資産を把握することが必要になります。

次に、上記で抽出できた資産に存在するセキュリティ的に脆弱な点について把握します。

ここでいう“脆弱な点”とは、単にCVE番号が振られている脆弱な点だけを指しているわけではありません。例えば、“設定ミスにより公開すべきではないサービスが外部公開されている”、“ベストプラクティスから外れた運用がされている”といった事項まで含まれます。

ここまで完了したら、上述している「“その組織が外部に公開しているデジタル資産(IPアドレスやドメインなど)に存在するセキュリティ的に脆弱な点”を把握できる」ため、セキュリティ運用する方は、対応すべき“脆弱な点”をリストアップし、対応すればよいわけです。

これが、「Attack Surface Management」の概念と実装方法です。

また、「Attack Surface Management」の対象として、自組織と関連する組織や取引先組織まで含めることも必要な場合もあります。最近、世間を騒がせている「サプライチェーンの弱点を利用した攻撃」まで視野に入れた対応を行う場合がそれに当たります。

攻撃者から見ると、攻撃対象とする組織にシステム的につながっている関連組織も“接点”と見ることができるからです。

ここまで、「Attack Surface Management」の実践方法について記載しました。これが実際に行えれば、かなりセキュリティマネジメントが効果的にできると感じた方もいらっしゃると思います。その一方で、少し取り組みにはハードルの高さを感じた方もいらっしゃるのではないでしょうか。

次に、「Attack Surface Management」を導入する上で、検討する価値があるソリューションを紹介いたします。



SecurityScorecard のセキュリティ リスク レイティングの提供価値

SecurityScorecard のセキュリティ リスク レイティングは、この「Attack Surface Management」に効果的に作用します。

その特徴は、以下の3点にまとめられます。

(1)「外部に公開された状態にある資産」を自動収集してくれる

SecurityScorecardは独自のネットワークセンサーを全世界に配置し、当該組織に紐づく「外部に公開された状態にある資産」を自動的に収集します。この自動収集の技術により、ユーザは、これまで把握することが難しかったシャドーITやCDNの存在を認識することができます。


図:「外部に公開された状態にある資産」表示画面



(2)「脆弱な点」を自動的に抽出してくれる

SecurityScorecardでは、(1)で把握した「外部に公開された状態にある資産」に存在する「脆弱な点」を自動的に収集し、システム上に表示します。この「脆弱な点」は、弊社知見で攻撃に利用される傾向が強いと判断された項目に絞っているため、セキュリティ管理者から見ると、より効率的に攻撃にあう可能性を低減する対応を行うことができます。

例えば、「有効期限が切れている証明書の存在」、「意図せずインターネットに公開されているサービスの存在」「古いOSが使われている端末の存在」など、自動抽出し、画面上に表示します。

図:「脆弱な点」の表示画面(全体では100項目に上るため上図は抜粋表示)


また、SecurityScorecardの特長としては、上記(1)、(2)のプロセスを経て観測された“当該の組織が攻撃にあう可能性”を点数化することができることです。

以下の例ですと、この組織は、“組織が外部に公開しているデジタル資産に存在するセキュリティ的に脆弱な点”が多く存在し、セキュリティの態勢を点数化すると、“63点”となっています。


図:当該組織が攻撃にあう可能性の点数化表示


(3)「関連組織/取引先組織のセキュリティリスク」を定量化してくれる

 SecurityScorecardは、自組織だけでなく、関連組織や取引先組織に対しても、上記(1)、(2)のプロセスを含むことで、そのセキュリティリスクを把握することができます。

例えば、頻繁に取引を行う組織をグループ化し、以下の様にそれら組織が攻撃にあう可能性を把握することが可能です。



図:取引先組織の攻撃にあう可能性の点数を一覧把握する画面



いかがでしょうか。「Attack Surface Management」の概念とSecurityScorecardのソリューションがそれに対して有効に機能することをご理解いただけたのではないでしょうか。



他の人気ブログ

  • 【事例から知る】 SecurityScorecard の「サプライチェーン リスク マネジメント」への活用
  • 従来の取引先のライフサイクル マネジメントには足りない『サプライチェーン リスク マネジメント』を実現するための要素とは?
  • 取引先企業のリスク管理における3つの課題およびその解決方法
  • セキュリティ投資の効果測定で検討すべき20の評価基準
  • Why SecurityScorecard? SecurityScorecard はサイバー リスク レイティング マーケットでLeaderとして評価を受けています
  • 10項目のセキュリティ リスク マネジメントに関する考慮事項
Join us in making the world a safer place
Join Us
Social-linkedin Social-facebook Twitter Instagram Youtube

SecurityScorecard
Tower 49
12 E 49th St
Suite 15-100
New York, NY 10017

[email protected]

United States: (800) 682-1701
International: +1(646) 809-2166
  • 製品
  • ソリューション
  • 顧客
  • マーケットプレイス
  • パートナー
  • リソース
  • 会社概要
  • 信頼性ポータル
  • セキュリティ レイティング
  • ログイン
  • ブログ
  • お問い合わせ
  • 採用情報
    人材募集
  • 利用規約
  • プライバシーポリシー
  • 特許
  • クッキーの使用について
© 2022 SecurityScorecard