アタックサーフェス管理、有効なユースケースとは?
では、具体的にASMはどのように機能するのか。桐谷氏は例として、自組織においてVPN装置の状態をダッシュボード上で確認できる様子を紹介した。
画面上には利用している機器などがメーカー情報を含めて表示され、たとえばVPN装置をクリックすれば、IPアドレスや設置されている国などの詳細情報も確認できる。Webの管理画面が外部公開されていたり、ポートが開いていたりといった状況も一目瞭然だ。また、こうしたIT資産の状況について、セキュリティ上の問題点がないかをリスト化できる。
もちろん、Webサイトや業務アプリケーションなどの資産も検出でき、パッチ未適用による脆弱性や設定不備などの問題点を資産情報と共にリスト化可能だ。さらに問題点は5段階の重大度で示されるため、リスクレーティングに基づいたトリアージにも適う。「このように定常的な自動評価を行うことで、資産の存在や脆弱性の情報を知らなくても、攻撃される可能性をいち早く把握できます」と桐谷氏は話す。
MandiantのASMは多くの日本企業でも利用されている。たとえば、大手製造業の事例では東南アジアの工場や北米拠点など、グループ会社や子会社が全世界にあり、主要サプライチェーンも含めると組織が200を超える。これらの組織を日本のセキュリティ部門から守りたいが、膨大な組織数に加えて、成熟度やセキュリティレベル、関与できるレベルなどの違いからガバナンスを効かせ難いことが課題だった。そこでASMを用いて、これらの組織に対して毎日または毎週のスキャンを実施。万が一、重大な問題が見つかれば、ただちに連絡して対策できるような運用を確立している。
また、さまざまなBtoCサービスを展開している大手Webサービス業では、グループ会社が各社で多様なサービスを立ち上げているため1,000以上の関連ドメインがあり、そのすべてを把握することが困難だった。そこでASMを用いて、外部から見て危険なIT資産がないかを毎日スキャンしている。ただちに対策が必要なリスクは、各グループのIT担当者に連絡して対策を促し、低リスクのものは定期レポートで通知する運用を採っているという。
他にもASMのユースケースとしては、2022年に話題となったApache Log4jのようなクリティカルな脆弱性が公開された際、影響するIT資産を特定するときにも活用できる。さらに野良クラウドを含めたシャドーITへの対応はもちろん、企業の合併や統合といったケースにも役立つだろう。「まずは外部から見えるところを中心にリスク調査を自動化し、日常的に見える状態にします」と桐谷氏は言う。
