継続的な「アタックサーフェス管理」が必要な理由
DXやグローバル化が加速している現在、サプライチェーンが「弱い鎖」となり、企業に深刻な被害を及ぼすことが増えている。サイバーセキュリティの攻撃と防御、その最前線においては「アタックサーフェス管理(Attack Surface Management:ASM)」の必要性が増してきたと、桐谷氏は昨今の脅威状況から説明を始めた。
VPN装置の脆弱性が悪用され、ランサムウェアの被害に遭ったとのニュースを耳にする。Mandiantの調査によると、コロナ禍では8つを超える犯罪者グループが20以上のVPN製品の脆弱性を悪用してランサムウェア侵害事件を起こした。VPN装置から侵入し、工場のラインや病院の院内業務がランサムウェア攻撃で止まってしまうといったケースもその例だ。
このような侵害事件の増加を受け、2023年5月には経済産業省が『ASM(Attack Surface Management)導入ガイダンス』を公表している。ポイントは、インターネット経由で外部からアクセス可能なIT資産を発見し、リスクを継続的に検出・評価すること。これにより把握していない端末機器や意図しない設定ミスを攻撃者視点で発見し、リスクを低減する効果が期待される。
「継続的に実施することが重要なポイントです。一度きりで終わるのではなく、継続的なプロセスとして検出・評価することが大切だということを認識してほしい」と桐谷氏。米国CISA(Cybersecurity and Infrastructure Security Agency)による2022年の通知でも政府機関に対して、自動化された資産探索の実行を1週間ごと、そして資産探索で見つけた資産に対して脆弱性の一覧化を2週間ごとに行うこととされている。IT資産の棚卸しや脆弱性検査を実施している企業・団体は多いが、年1回の単発での施策に止まっているケースがほとんどであり、近年のサイバー脅威に対応することは難しい。より短いサイクルで資産の可視化と脆弱性の検査を行うべきと、米国では一歩踏み込んだ動きが見受けられる。
「Mandiant Advantage Attack Surface Management(Mandiant ASM)」は、こうした昨今の要件に対応し、攻撃の起点となり得るアタックサーフェスをより適切に管理することで侵害リスクを軽減することを目的としている。組織ドメインなどの情報を基にインターネット経由で資産探査を行うもので、本社やグループ会社、海外拠点、サプライチェーン、さらにはクラウド上のリソースまでも探査の対象とすることができる。
具体的には、企業のアセット特定・可視化を行い、それらのIT資産でどのようなアプリケーションやプラットフォームが稼働しているのか判定も行う。その上で脅威インテリジェンスを活用してリスクを明らかにし、セキュリティ上の懸念や問題点がないかを評価するという。「攻撃者から狙われる隙がないかを毎日自動で探索・評価します。問題点が確認された場合でも、優先順位をつけてしっかりと対応できるように支援します」と桐谷氏は述べる。
