経産省が導入ガイダンスを公開、攻撃者が狙う「脆弱なIT資産」を守るASMとは?
記事をお気に入りリストに登録することができます。
サイバー攻撃の被害が止まらない。つい先日も、大手企業が提供するサービスがランサムウェアの攻撃を受けて停止する事態に陥った。ランサムウェアの原因の多くは外部からの攻撃によるものだ。なぜ、さまざまなセキュリティ対策を実施しているのに被害はなくならないのか。ここでは、その原因を整理するとともに、攻撃者から自社のIT資産を守る手法として経済産業省が導入ガイダンスを公開したセキュリティ対策について解説する。
(Photo/Shutterstock.com)
深刻化するサイバー攻撃、自社のIT資産を守るために有効な対策
現在の深刻なサイバー被害の背景の1つが、テレワークやクラウドの広がりによって、守るべき企業の情報資産が社内から社外へ、オンプレミスからクラウドへと拡大していることにある。これは、攻撃者の視点からいえば、攻撃できる対象が広がったことを意味する。
こうした事態を重く見た経済産業省も、2023年5月に「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」という文書を公開している。「ASM」は、企業が所有する外部からアクセス可能なシステムやアプリケーションなどのIT資産を把握し、それらに存在する脆弱性などの攻撃面(アタックサーフェス)を定期的に調べ、リスクを管理することを指す。現実に、IT資産の脆弱性は、影響の小さいものなら毎日、大きいものは数カ月に1つは発見されている。
ところが、多くの企業はASMを実施できていない。理由はいくつか考えられる。その1つはIT資産の管理が拠点・部門任せになっていて、情報システム部門が自社で保有するIT資産全体を把握できていないことだ。自社のIT資産がわからなければ、脆弱性の有無もわからない。また、仮に全体を把握できていたとしても、どのIT資産に脆弱性があるのかまで細やかに把握するのは難しい。
しかし、こうした状況を放置していたら、いずれサイバー攻撃の被害を受けるだろう。経済産業省がガイダンスを公開したのも、脆弱性などのリスク管理においてASMが効果的であるからこそだ。では、企業がASMを効果的に実施するためには、何が必要なのだろうか。
こうした事態を重く見た経済産業省も、2023年5月に「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」という文書を公開している。「ASM」は、企業が所有する外部からアクセス可能なシステムやアプリケーションなどのIT資産を把握し、それらに存在する脆弱性などの攻撃面(アタックサーフェス)を定期的に調べ、リスクを管理することを指す。現実に、IT資産の脆弱性は、影響の小さいものなら毎日、大きいものは数カ月に1つは発見されている。
ところが、多くの企業はASMを実施できていない。理由はいくつか考えられる。その1つはIT資産の管理が拠点・部門任せになっていて、情報システム部門が自社で保有するIT資産全体を把握できていないことだ。自社のIT資産がわからなければ、脆弱性の有無もわからない。また、仮に全体を把握できていたとしても、どのIT資産に脆弱性があるのかまで細やかに把握するのは難しい。
しかし、こうした状況を放置していたら、いずれサイバー攻撃の被害を受けるだろう。経済産業省がガイダンスを公開したのも、脆弱性などのリスク管理においてASMが効果的であるからこそだ。では、企業がASMを効果的に実施するためには、何が必要なのだろうか。
IT資産を自動的に探索・診断して管理する「ASMツール」、脆弱性診断との違いは?
ASMの重要性について、多くの企業のセキュリティ対策を支援してきた日立ソリューションズ ネットワークセキュリティサービス部 グループマネージャ 小林 淳 氏は、次のように説明する。
日立ソリューションズ
ネットワークセキュリティサービス部 グループマネージャ
小林 淳 氏
「脆弱性が発見される頻度が高くなっているため、すべての情報を追い切れないのが実態です。しかし、攻撃者側は脆弱性を利用して攻撃を仕掛けてきます。テクノロジーの進化によって、攻撃者側も以前より広範囲に情報を収集できるようになり、脆弱性を見つけやすくなっているため、自社のIT資産に存在する脆弱性などのリスクを調査・管理するASMが重要とされているのです」(小林氏)
ただし、重要性は理解できても、人的リソースの不足もあって、ASMに着手できないのが多くの企業の実態だろう。こうした企業に、ぜひ注目してもらいたいのが「CyCognito(サイコグニト)」だ。
これは、イスラエル軍の諜報部隊出身者が設立した企業であるCyCognito社が開発・提供するクラウド型のASMツールであり、日本では日立ソリューションズが製品の販売だけでなく導入から運用まで支援している。
「企業は、調査したいサイトのトップドメインを指定します。すると、CyCognitoの機械学習や自然言語処理などを使用した独自技術により、その企業の子会社や関連会社も含めたIT資産が自動的に探索されます。検出したIT資産に対して脆弱性の有無が診断されて一覧表示されます」(小林氏)
CyCognitoによる探索と脆弱性の診断
なお、脆弱性を見つけるという点では、従来から「脆弱性診断」もある。このため、ASMツールと脆弱性診断を混同する企業も少なくないようだ。両者の違いについて、日立ソリューションズ ネットワークセキュリティサービス部 技師 戸田岸 直 氏は、次のように説明する。
日立ソリューションズ
ネットワークセキュリティサービス部 技師
戸田岸 直 氏
「従来の脆弱性診断は、調査する対象が決まっています。また、非常に深いところまで調べるので、システムを本番稼働しながら診断することはできません。このため、通常はシステムの本番リリース前や年に数回の実施にとどまります。一方のASMは、把握できていないIT資産を見つけることも目的に含みます。また、広く浅い診断であるため、本番稼働しているシステムも止めることなく、診断を実施することができます。インターネットから診断するので、攻撃者と同じ視点で確認することが特長です」(戸田岸氏)
ネットワークセキュリティサービス部 グループマネージャ
小林 淳 氏
「脆弱性が発見される頻度が高くなっているため、すべての情報を追い切れないのが実態です。しかし、攻撃者側は脆弱性を利用して攻撃を仕掛けてきます。テクノロジーの進化によって、攻撃者側も以前より広範囲に情報を収集できるようになり、脆弱性を見つけやすくなっているため、自社のIT資産に存在する脆弱性などのリスクを調査・管理するASMが重要とされているのです」(小林氏)
ただし、重要性は理解できても、人的リソースの不足もあって、ASMに着手できないのが多くの企業の実態だろう。こうした企業に、ぜひ注目してもらいたいのが「CyCognito(サイコグニト)」だ。
これは、イスラエル軍の諜報部隊出身者が設立した企業であるCyCognito社が開発・提供するクラウド型のASMツールであり、日本では日立ソリューションズが製品の販売だけでなく導入から運用まで支援している。
「企業は、調査したいサイトのトップドメインを指定します。すると、CyCognitoの機械学習や自然言語処理などを使用した独自技術により、その企業の子会社や関連会社も含めたIT資産が自動的に探索されます。検出したIT資産に対して脆弱性の有無が診断されて一覧表示されます」(小林氏)
なお、脆弱性を見つけるという点では、従来から「脆弱性診断」もある。このため、ASMツールと脆弱性診断を混同する企業も少なくないようだ。両者の違いについて、日立ソリューションズ ネットワークセキュリティサービス部 技師 戸田岸 直 氏は、次のように説明する。
ネットワークセキュリティサービス部 技師
戸田岸 直 氏
「従来の脆弱性診断は、調査する対象が決まっています。また、非常に深いところまで調べるので、システムを本番稼働しながら診断することはできません。このため、通常はシステムの本番リリース前や年に数回の実施にとどまります。一方のASMは、把握できていないIT資産を見つけることも目的に含みます。また、広く浅い診断であるため、本番稼働しているシステムも止めることなく、診断を実施することができます。インターネットから診断するので、攻撃者と同じ視点で確認することが特長です」(戸田岸氏)
脆弱性の優先順位を総合的に判断し、発見後の対応まで含めた運用機能も充実
トップドメインの情報だけで、必要な情報を自動的に収集してくれるのが、CyCognitoの特長だ。さらに、脆弱性管理の運用が容易なのも大きな特長となっている。
「脆弱性が発見できても、すぐに対応できるわけではありません。もちろん緊急度にもよりますが、開発環境で対応して確認したうえで、本番環境に反映する必要もあるため、対応までに数カ月かかることも珍しくありません。こうしたステータスを容易に管理できるのも、CyCognitoの特長の1つです」(小林氏)
また、CyCognitoを使うと、IT資産がどの子会社に属しているかがわかる。たとえば、「IT資産〇〇は子会社A」、「IT資産△△は子会社B」といったIT資産の所有会社を自動分類してくれるため、脆弱性が発見された場合に、その会社の管理者に連絡をとるのも容易だ。
さらに、発見された脆弱性を総合的に判断して対応の優先順位を付けるのも特長だ。
「通常は、見つかった脆弱性の深刻度を指標に優先順位を決定します。しかし、CyCognitoはそれだけでなく、見つかった脆弱性を容易に攻撃できるツールが出回っているか、そのIT資産は攻撃者から見つけやすいかといった観点も含めて、総合的に順位を付けます。このため、企業は本当に優先すべき脆弱性から順番に対応できます」(戸田岸氏)
なお、日立ソリューションズでは、CyCognitoの運用を支援する「アタックサーフェスマネジメント運用支援サービス for CyCognito」も提供している。
アタックサーフェスマネジメント運用支援サービス for CyCognito
「CyCognitoで脆弱性の検出はできていても、人手不足でその後の対策まで手が回っていない場合、あるいはセキュリティの知識を持つ人財がいないため、CyCognitoの効率的な活用が難しい場合は、運用支援サービスをご検討ください」(小林氏)
「脆弱性が発見できても、すぐに対応できるわけではありません。もちろん緊急度にもよりますが、開発環境で対応して確認したうえで、本番環境に反映する必要もあるため、対応までに数カ月かかることも珍しくありません。こうしたステータスを容易に管理できるのも、CyCognitoの特長の1つです」(小林氏)
また、CyCognitoを使うと、IT資産がどの子会社に属しているかがわかる。たとえば、「IT資産〇〇は子会社A」、「IT資産△△は子会社B」といったIT資産の所有会社を自動分類してくれるため、脆弱性が発見された場合に、その会社の管理者に連絡をとるのも容易だ。
さらに、発見された脆弱性を総合的に判断して対応の優先順位を付けるのも特長だ。
「通常は、見つかった脆弱性の深刻度を指標に優先順位を決定します。しかし、CyCognitoはそれだけでなく、見つかった脆弱性を容易に攻撃できるツールが出回っているか、そのIT資産は攻撃者から見つけやすいかといった観点も含めて、総合的に順位を付けます。このため、企業は本当に優先すべき脆弱性から順番に対応できます」(戸田岸氏)
なお、日立ソリューションズでは、CyCognitoの運用を支援する「アタックサーフェスマネジメント運用支援サービス for CyCognito」も提供している。
「CyCognitoで脆弱性の検出はできていても、人手不足でその後の対策まで手が回っていない場合、あるいはセキュリティの知識を持つ人財がいないため、CyCognitoの効率的な活用が難しい場合は、運用支援サービスをご検討ください」(小林氏)
自社がサイバー攻撃者からどう見えているのかを知る
CyCognitoは、フォーブス誌が毎年発表する世界の公開会社上位2000社である「フォーブス・グローバル2000」の企業をはじめとする多くの企業に導入されている。日立ソリューションズ自身も、導入している1社だ。その導入効果について、小林氏は次のように説明する。
「たとえば、緊急度の高い脆弱性が発見された際、従来はその脆弱性を持つIT資産の有無を各部門に連絡して、人手で調べる必要がありました。しかし、CyCognitoを使えば、ほぼリアルタイムに、しかも自動的に調べることができます。このため、その後の対応を圧倒的に迅速化できました」(小林氏)
もちろん、CyCognitoだけですべてのサイバー脅威に対応できるわけではない。従来のセキュリティ対策も引き続き重要だ。一方で、従来の対策では、拡大するアタックサーフェスに対応することは難しい。だからこそ、従来のセキュリティ対策とCyCognitoを組み合わせることが重要になる。戸田岸氏は、その意義を次のように述べる。
「自分達ではしっかりと防御を固めているつもりでも、外から"攻撃者の目線"でじっくり見渡してみると、気付いていない穴が思った以上にあるものです。CyCognitoは、その穴を速やかに発見してくれます。その意味では、手っ取り早くセキュリティを高める手段だといえます」(戸田岸氏)
CyCognitoを使えば、攻撃者の目に自社がどう見えているのかを知ることができる。それは「敵を知り、己を知る」につながり、セキュリティ強化に寄与することは明らかだろう。関心があれば、ぜひ日立ソリューションズに、ご相談いただきたい。
本記事中の会社名、商品名は各社の商標、または登録商標です。
「たとえば、緊急度の高い脆弱性が発見された際、従来はその脆弱性を持つIT資産の有無を各部門に連絡して、人手で調べる必要がありました。しかし、CyCognitoを使えば、ほぼリアルタイムに、しかも自動的に調べることができます。このため、その後の対応を圧倒的に迅速化できました」(小林氏)
もちろん、CyCognitoだけですべてのサイバー脅威に対応できるわけではない。従来のセキュリティ対策も引き続き重要だ。一方で、従来の対策では、拡大するアタックサーフェスに対応することは難しい。だからこそ、従来のセキュリティ対策とCyCognitoを組み合わせることが重要になる。戸田岸氏は、その意義を次のように述べる。
「自分達ではしっかりと防御を固めているつもりでも、外から"攻撃者の目線"でじっくり見渡してみると、気付いていない穴が思った以上にあるものです。CyCognitoは、その穴を速やかに発見してくれます。その意味では、手っ取り早くセキュリティを高める手段だといえます」(戸田岸氏)
CyCognitoを使えば、攻撃者の目に自社がどう見えているのかを知ることができる。それは「敵を知り、己を知る」につながり、セキュリティ強化に寄与することは明らかだろう。関心があれば、ぜひ日立ソリューションズに、ご相談いただきたい。
関連タグ
タグをフォローすると最新情報が表示されます
