アタックサーフェス対策で注力すべきは「エンドポイント」と「ユーザーアカウント」
コロナ禍を経て、多くの組織がリモートワークのためにクラウドサービスを導入するなどワークスタイルを変革してきた。会社支給のパソコンだけではなく、私物端末を業務利用しても構わないとした企業も少なくない。SentinelOne Japanでシニアソリューションエンジニアを務める藤田平氏は「このような変化はメリットがもたらす一方、様々なセキュリティリスクを招いてしまう『脆弱性』を含んでいることを認識しておくべきです」と警鐘を鳴らす。
業務データを私物端末などで扱えるようになるということは、攻撃者からすると“アタックサーフェス”(攻撃対象となる領域)が増加していることと同義だ。当然ながらアタックサーフェスが拡大するにともない脆弱性も増加する。すべてのリスクに対処できればいいが、セキュリティの予算やリソースは限られているのが現実だ。藤田氏は「選択と集中、いわゆる最適化」が大切だと説く。
では、どこにリソースやコストを集中投下すべきか。ここで考慮すべきは、アタックサーフェスを4つに大別できるという点だ。
- エンドポイント:業務利用しているPCやタブレット、スマートフォンなど、組織として管理すべきエントリーポイント、潜在的な脆弱性を指す。攻撃者はこれらを悪用して機密情報を盗んだり、他のシステムに対する攻撃の足がかりとしたりする
- ユーザーアカウント:脆弱なパスワードやアクセス制限など、組織のユーザーアカウントにあるエントリーポイントと潜在的な脆弱性を指す。攻撃者はこれらを悪用して機密データにアクセスしたり、他のシステムに対して攻撃を仕掛けたりする
- ネットワーク機器:ルーターやスイッチ、ファイアウォール、VPN装置など、組織のネットワークインフラにあるエントリーポイントと潜在的な脆弱性を指す。攻撃者はこれらを悪用してネットワークに不正アクセスしたり、他のシステムに攻撃を行ったりする
- アプリケーション:Webアプリケーションやクラウドサービスなど、組織利用するソフトウェアアプリケーションにあるエントリーポイントと潜在的な脆弱性を指す。攻撃者はこれらを悪用して機密データにアクセスしたり、ユーザーアカウントを侵害したり、マルウェアを拡散したりする
これらの攻撃対象領域でエントリーポイントが最多となるのは、エンドポイントやユーザーアカウントだ。もちろん、ネットワークやアプリケーションにおける保護も必要だが、選択と集中という観点では、エンドポイントの強化や最適化を優先すべきだろう。
