IT資産の弱点を徹底的に守るには　Mandiantが考える「アタックサーフェス管理」の選び方と活用法

脅威インテリジェンスに基づく優先順位付けで運用を効率化

　ASMのユースケースを紹介したが、もちろん導入しただけで課題解消とはいかない。たとえば、検出されるIT資産が多く、確認や振り分けに苦労するという運用課題はよく聞こえてくる。実際のIT資産数は1,000程度のはずだが、他社のツールでスキャンすると1万超のIT資産がリストアップされてしまったケースもあるという。ツールによっては誤検知が多い場合があるなど、IT資産をいかに精度良く見つけられるかは選定時の重要なポイントだ。

　また、セキュリティアラートが大量に上がり、どれから手をつけて良いかわからないケースもある。「セキュリティの問題点を見つけてくれるのは良いことですが、担当者に一つひとつ連絡するのは現実的ではなく、日常業務として運用できません」と桐谷氏。自社のセキュリティ運用と上手く連携できなければ回せない。

　一方、Mandiant ASMは検出精度が高く、“攻撃者の視点”でIT資産を発見できる点がポイントだ。攻撃者がツールを使い攻撃対象を探すのと同様に、自組織のドメインを入力するだけで関連するIT資産を再帰的に探索できるからだ。ASMが自動的にIT資産を見つける際の検出精度の高さこそが、運用における成功のポイントだと桐谷氏は強調する。

　データソースはDNSやWhois、ソーシャルメディアのアカウントなど250以上を利用しており、ドメインやDNS、クラウド上のリソース、GitHubのコードリポジトリなどもIT資産として検出可能だ。「特にクラウドリソースやコードリポジトリは発見され次第、攻撃者が深掘りして調べるため、検出できるかどうかは大きなポイントです」とも言う。

　さらにセキュリティアラートが大量に上がり、どこから手をつけて良いかわからないとの課題には、アラートの優先付けが有効だ。「最近の脆弱性は“Critical”としてレーティングされるものが多いため、その全部に対応しようとして運用負荷が高くなってしまう場合があります。NISTの脆弱性データベース（NVD）におけるCVSSレーティングで“High”または“Critical”を対応するポリシーがよく聞かれますが、IT担当者への連絡が多くなり疲弊しがちです」と桐谷氏。

　Mandiantでは独自のリスクレーティングに基づき、理論的な脆弱性の危険度だけではなく、実際の攻撃現場で得られた情報も評価している。これにより、たとえば2022年のHighまたはCriticalに分類された脆弱性を見るとMandiantは428件だが、NVDのCVSSでは5,000件以上だ。このようにMandiant ASMでは、実際に起きている攻撃の状況も踏まえた上で、本当に対処すべき脅威に焦点を当てることで、効率的にリスクのトリアージを行うことができる。

　これに加えて、スピードも重要だ。Mandiantでは、Apache Log4jの脆弱性が公表された翌日にチェック機能を実装した。つまり、日々スキャンを実施していれば、担当者がApache Log4jの脆弱性を知らずとも、公表翌日には影響する対象資産を見つけられるということだ。「特にリスクの高い脆弱性にはスピード感をもって機能を提供しています」と桐谷氏は述べる。

　最後に大事なポイントは、既存のセキュリティ運用との連携だ。ASMの運用フローとしてはIT資産の探索やリスクの可視化を自動的に行い、もし問題点があればアクションをとる流れとなる。このとき肝となるのは、短期、そして中長期的なアクションにうまくつなげるために、自社で確立している運用にあわせた形で行うことだ。Mandiantでは、他社チケット管理ツールとの連携やAPI、データのエクスポートが可能で、導入しやすさを意図した機能も備わっている。

　MandiantはGoogle Cloudの一員であり、ASM以外にも多くのサービスやソリューションを提供している。Mandiantが持っている攻撃者の脅威情報をベースにGoogle Cloud Threat Intelligence（GCTI）による脅威インテリジェンスをChronicle SIEM、SOARなどと連携して検出や調査、対応も可能だ。そのような運用基盤をクラウドプラットフォームとあわせて提供している点も同社の特長だろう。

　Googleが得意とするAIについても活用が進んでおり、脅威の早期発見やセキュリティ運用の効率化のために製品へと組み込まれている。「Google Cloud は、クラウドかオンプレか、ハイブリッドかなどにかかわらず、お客様の重要なデータやサービスを守り、DXの推進を支援していくことにコミットしています」と桐谷氏は締めくくった。