「Attack Surface Management」を実践するには?
発行日:2021年9月24日
皆様は、「Attack Surface Management」という用語を聞いたことがあるでしょうか。
実は、私も最近、耳にするようになった言葉なのですが、当たり前のようでこれまでちゃんと語られなかった用語なので、、このブログで皆様と一緒に掘り下げてみたいと思います。
「皆様が所属している組織では、侵害が発生する可能性を把握するためには、どのような視点を持ったらよいでしょうか?」
抽象的な質問で、答え方も様々ありますが、以下のような回答は、皆様にどのように響くでしょうか。
「自組織が保有するデジタル資産の中で、“攻撃者から接点を持たれる可能性のある資産”に着目する。」
“攻撃者から接点を持たれる可能性のある資産”。つまり、“外部に公開しているデジタル資産”に着目するということです。
組織における侵害発生の可能性、サイバー攻撃を受ける可能性は、その組織が外部に公開しているデジタル資産(IPアドレスやドメインなど)にセキュリティ的に脆弱な点が多く存在すればするほど高まる、というのは容易に想像がつくと思います。
その“組織が外部に公開しているデジタル資産に存在するセキュリティ的に脆弱な点”に注目して、セキュリティリスクをマネジメントしようとする取り組みが、「Attack Surface Management」です。
文字にすると、当たり前のように感じますが、実は、今までに存在しなかった新たな概念ではないでしょうか。
「Attack Surface Management」を実践するには?
「Attack Surface Management」を実践するにはどのようなステップで取り組めばよいでしょうか。
まずは、組織が保有しているデジタル資産の中で、外部に公開された状態にある資産を把握します。
ただ、この対象となる資産は、組織の資産台帳で管理されているデジタル資産だけでは不十分なことが多いのです。
例えば、シャドーIT。この言葉が生まれてから、久しいですが、未だにこのシャドーITの把握/管理に頭を悩ませている組織も多いと耳にします。ただ、攻撃者の接点になりかねないというリスクがある以上、「Attack Surface Management」の観点からも、把握しておかなければならない資産であることは間違いないです。
また、“シャドーIT”とは概念が異なりますが、組織が利用しているCDN(Content Delivery Network)の存在なども気に掛けないとなりません。組織が業務上で利用しているCDNにセキュリティ的に脆弱な点が存在したらどうしますか。CDNは、攻撃の対象となり、その脆弱な点を踏み台にして、社内にまで攻撃が浸潤する可能性は十分にあるため、資産管理上は自社の保有資産に該当しないものの、セキュリティリスクマネジメントの観点では、把握すべきです。
このように、「組織が保有しているデジタル資産の中で、外部に公開された状態にある資産」を、既存の資産台帳への掲載の有無にかかわらず、可能な限り広い範囲で該当するデジタル資産を把握することが必要になります。
次に、上記で抽出できた資産に存在するセキュリティ的に脆弱な点について把握します。
ここでいう“脆弱な点”とは、単にCVE番号が振られている脆弱な点だけを指しているわけではありません。例えば、“設定ミスにより公開すべきではないサービスが外部公開されている”、“ベストプラクティスから外れた運用がされている”といった事項まで含まれます。
ここまで完了したら、上述している「“その組織が外部に公開しているデジタル資産(IPアドレスやドメインなど)に存在するセキュリティ的に脆弱な点”を把握できる」ため、セキュリティ運用する方は、対応すべき“脆弱な点”をリストアップし、対応すればよいわけです。
これが、「Attack Surface Management」の概念と実装方法です。
また、「Attack Surface Management」の対象として、自組織と関連する組織や取引先組織まで含めることも必要な場合もあります。最近、世間を騒がせている「サプライチェーンの弱点を利用した攻撃」まで視野に入れた対応を行う場合がそれに当たります。
攻撃者から見ると、攻撃対象とする組織にシステム的につながっている関連組織も“接点”と見ることができるからです。
ここまで、「Attack Surface Management」の実践方法について記載しました。これが実際に行えれば、かなりセキュリティマネジメントが効果的にできると感じた方もいらっしゃると思います。その一方で、少し取り組みにはハードルの高さを感じた方もいらっしゃるのではないでしょうか。
次に、「Attack Surface Management」を導入する上で、検討する価値があるソリューションを紹介いたします。
SecurityScorecard のセキュリティ リスク レイティングの提供価値
SecurityScorecard のセキュリティ リスク レイティングは、この「Attack Surface Management」に効果的に作用します。
その特徴は、以下の3点にまとめられます。
(1)「外部に公開された状態にある資産」を自動収集してくれる
SecurityScorecardは独自のネットワークセンサーを全世界に配置し、当該組織に紐づく「外部に公開された状態にある資産」を自動的に収集します。この自動収集の技術により、ユーザは、これまで把握することが難しかったシャドーITやCDNの存在を認識することができます。

(2)「脆弱な点」を自動的に抽出してくれる
SecurityScorecardでは、(1)で把握した「外部に公開された状態にある資産」に存在する「脆弱な点」を自動的に収集し、システム上に表示します。この「脆弱な点」は、弊社知見で攻撃に利用される傾向が強いと判断された項目に絞っているため、セキュリティ管理者から見ると、より効率的に攻撃にあう可能性を低減する対応を行うことができます。
例えば、「有効期限が切れている証明書の存在」、「意図せずインターネットに公開されているサービスの存在」「古いOSが使われている端末の存在」など、自動抽出し、画面上に表示します。

また、SecurityScorecardの特長としては、上記(1)、(2)のプロセスを経て観測された“当該の組織が攻撃にあう可能性”を点数化することができることです。
以下の例ですと、この組織は、“組織が外部に公開しているデジタル資産に存在するセキュリティ的に脆弱な点”が多く存在し、セキュリティの態勢を点数化すると、“63点”となっています。

(3)「関連組織/取引先組織のセキュリティリスク」を定量化してくれる
SecurityScorecardは、自組織だけでなく、関連組織や取引先組織に対しても、上記(1)、(2)のプロセスを含むことで、そのセキュリティリスクを把握することができます。
例えば、頻繁に取引を行う組織をグループ化し、以下の様にそれら組織が攻撃にあう可能性を把握することが可能です。

いかがでしょうか。「Attack Surface Management」の概念とSecurityScorecardのソリューションがそれに対して有効に機能することをご理解いただけたのではないでしょうか。