03-6416-1579

平日 10:00-18:00

HOME

お役立ち情報

アタックサーフェス(Attack Surface)とは?種類やアタックサーフェスマネジメント(ASM)を解説

脆弱性管理対応

アタックサーフェス(Attack Surface)とは?種類やアタックサーフェスマネジメント(ASM)を解説

企業のセキュリティ担当者なら、「アタックサーフェス」という言葉を耳にしたことがあるかと思います。サイバー攻撃が巧妙化・複雑化する中、アタックサーフェスを適切に把握することは、企業のセキュリティリスクを評価し、効果的な対策をする上で欠かせません。

この記事では、アタックサーフェスの基本概念から、最新のアタックサーフェスマネジメント(ASM)の手法まで、わかりやすく解説します。

アタックサーフェス(Attack Surface)とは?

アタックサーフェス(Attack Surface)とは、サイバー攻撃の対象となるIT資産、攻撃点、攻撃経路を指します。攻撃対象領域とも呼ばれます。

IT資産には、企業が保有するソフトウェア、ハードウェア、ネットワーク、データなどが含まれています。

リモートワークの普及により、従来は外部からアクセスできなかった社内サーバーにVPNを介してアクセスできるようになりました。裏を返せば、社内ネットワークへの新たな侵入経路が生まれ、IT資産がサイバー攻撃による不正アクセスや情報漏えいのリスクに晒されるようになりました。

またクラウドサービスの活用が進む中、社内の重要データが外部のクラウド上に保存されるケースも増えています。クラウドサービスは利便性が高い反面、適切なセキュリティ設定を怠ると、データ漏えいなどの重大なインシデントにつながりかねません。

このように、ビジネス環境の変化に伴い、組織の内外を問わずITシステム全体を俯瞰してアタックサーフェスを管理することが求められているのです。

3種類のアタックサーフェス

アタックサーフェスにはさまざまな種類があります。ここでは主な3種類のアタックサーフェスについて詳しく解説します。

デジタルアタックサーフェス

企業や組織のネットワークは、サイバー攻撃者にとって攻撃の対象となりやすく、無防備な状態に陥るリスクがあります。代表的なデジタルアタックサーフェスとしては、以下の3つが挙げられます。

1.ソフトウェア、OS(オペレーティングシステム)、ファームウェアの脆弱性

2️.推測しやすい、または解析しやすい簡単なパスワード

3.サポートが終了したデバイス、アプリケーション

これらのアタックサーフェスを悪用してネットワークに侵入し、ユーザー情報や機密情報を盗んだり、マルウェアを仕込んだりして、セキュリティリスクを引き起こします。

デジタルアタックサーフェスを適切に管理するためには、多角的なアプローチが必要です。定期的な脆弱性診断、ソフトウェアやOSの更新、パスワードルールの制定、古いシステムの刷新など、さまざまな対策を講じることで、サイバー攻撃のリスクを大幅に減らすことができます。

物理的なアタックサーフェス

物理的なアタックサーフェスは、特定のユーザーのみがアクセスできる資産や情報を使い、不正アクセスや窃取します。物理的なオフィスやサーバ、パソコン、スマートフォン、タブレットなど、すべての端末が物理的なアタックサーフェスに含まれます。

物理的なアタックサーフェスとしては、以下の3つが挙げられます。

1.不満を持つ、または攻撃者から金品を受け取るなど悪意のある従業員がアクセス権を悪用する

2.攻撃者が企業の敷地内に侵入し、端末を盗んだり社内サーバにアクセスしたりする

3.攻撃者がマルウェアに感染したUSBメモリなどを公共の場所に意図的に置き、偶然拾った人が自分の端末にUSBメモリを接続しマルウェアに感染する

これらのアタックサーフェスを悪用することで、従業員を装いながら機密データを盗んだり、デバイスを無効化したり、マルウェアを仕込むなどの攻撃を行います。

物理的なアタックサーフェスを適切に管理するには、オフィスの入退室管理、デバイスの暗号化、従業員教育など、多層的なセキュリティ対策が必要です。

ソーシャルエンジニアリングアタックサーフェス

ソーシャルエンジニアリングアタックサーフェスとは、人々を巧みに操り、本来なら行うべきではない行動を取らせる攻撃手法です。

ソーシャルエンジニアリングアタックサーフェスには、以下の例のような手法がよく使われます。

1.会社の同僚や取引先になりすまして、共有してはならない機密情報を教えるよう誘導したり、お金を送金させる

2.特定機関の人物や有識者になりすまし、マルウェアに感染したソフトウェアをダウンロードさせたり、フィッシングサイトをはじめとする危険なWebサイトに誘導したりする

これらの行為は、人間の心理的な弱点を突いてセキュリティ対策を迂回し脅威を引き起こすため、ソーシャルエンジニアリングを技術的に対策するだけでは防ぎにくいです。

定期的な教育やトレーニングを通じて、怪しいメールやリンクに気付けるようにするなど、従業員のセキュリティ意識を高めることが必要です。そして個人情報の取り扱いに関するポリシーを整備し、情報管理を徹底することが重要です。

アタックサーフェスマネジメント(Attack Surface Management、ASM)とは

アタックサーフェスマネジメント(ASM)とは、攻撃者の視点からサイバー攻撃が行われる可能性のある企業のアタックサーフェスを把握し、セキュリティを強化する取り組みです。

アタックサーフェスに対するリスクを把握、評価し、軽減するためのアタックサーフェスリスクマネジメント(ASRM)を継続的に実施することで、企業の業務に大きな支障をきたすインシデントの発生を未然に防ぎます。

ASMは以下のような流れで行います。

IT資産の脆弱性の洗い出し

ASMの第一歩として、企業や組織のすべてのIT資産を把握します。特に、バージョンが古い資産や、インターネットに接続され外部からアクセスしやすい資産は特に優先的に対応する必要があります。

また、使用されていないアプリケーションやデバイス、暗号化されていない機密情報や適切に管理されていないデータなど、悪用される可能性のある要素を特定し検出する必要があります。

さらに、一度実施した後も、新しい脆弱性の発見、資産の設定や用途の変更などビジネス環境の変化によってリスクレベルが変動する可能性があるため、リアルタイムで継続的に管理していく必要があります。

脆弱性のリスク評価と優先順位付け

IT資産の脆弱性を特定した後、それぞれの脆弱性がもたらすリスクを評価し、対処の優先順位を設定する必要があります。本来であればすべての脆弱性に対処することがベストですが、リソースに限りがある中では難しいでしょう。そのため、リスクの高い脆弱性から優先的に対処することが重要です。

リスク評価において、CVSS(Common Vulnerability Scoring System、共通脆弱性評価システム)スコアを参考にすることがおすすめです。

CVSSは、情報システムの脆弱性の深刻度を評価するために、国際的に広く利用されている指標です。日本の情報処理推進機構(IPA)もCVSSの評価基準の策定に関わっているので、信ぴょう性の高い指標となります。

CVSSスコアと自社システムの具体的な状況を考慮して脆弱性を評価することも重要です。機密情報が漏えいした際の深刻度や、事業運営への影響の可能性などを考慮することで、脆弱性の評価をより正確に行うことができます。

脆弱性の対処修正と継続管理

リスク評価と優先順位付けに基づき、脆弱性に対処していきます。リスクが高い脆弱性から順に新しいパッチを適用したり、セキュリティサービスを導入したりするなどの措置を取ります。

一方で、リスクが低い脆弱性については、修正を保留にし継続して監視するという選択肢もあります。脆弱性の対応結果はしっかり記録し、有効性を評価して今後の対策に反映させることが重要です。

また、新しい脆弱性がいつ発見されるか予測不能なため、継続的な管理と検出を行うことが大切です。検出した新規脆弱性に対して適切な修正を迅速に実施することによって、サイバー攻撃のリスクを最小限に抑えることができます。

IT資産の脆弱性を管理するなら「SIDfm」

ASMは企業にとって欠かせない取り組みです。しかし、脆弱性の発見や修正には専門知識が必要でリソースも多くかかるため、自社だけでの対応には限界があります。

また、日々新たな脆弱性が発見される中で、すべての脆弱性に対応し続けることは負荷がかかります。そんな脆弱性管理における難点を解決するのが、脆弱性情報収集・管理ツール「SIDfm(エスアイディー・エフエム)」です。

信頼できる幅広いセキュリティ情報を日本語で提供 影響する脆弱性情報を自動的に特定 CVSSと独自のSRI指標でセキュリティリスクを自動的に判定 脆弱性の対処方法もわかりやすく日本語で提供 脆弱性の対処状況を一元管理

SIDfmは、IT資産情報を取得し、アタックサーフェスになりうる脆弱性を通知します。また、脆弱性のリスクを評価するので、対応優先順がすぐに判別できます。

SIDfmの主な特長は以下の通りです。

・OS・アプリケーション・ネットワーク製品の脆弱性情報を世界中から自動で収集・蓄積

・自社に必要な情報だけをすぐに特定できる機能により対策すべき脆弱性とその対策内容が一目でわかる

・NVD、KEVなどのメタデータとベンダーのアドバイザリー情報、JVNなどの情報をセキュリティアナリストが専門家視点で読み解きリスク評価し「独自指標」「日本語の解説」を付加した脆弱性情報を提供

・脆弱性の対処進捗の記録・管理まで行うことができる

SIDfmを活用することで、専門的な知見を取り入れつつ効率的なアタックサーフェスマネジメントを行い、なおかつ社内のセキュリティ担当者の負担を軽減することができます。サイバー攻撃の脅威が高まる中、SIDfmは組織のセキュリティ強化に大きく貢献します。