ASMとは?概要や注目される理由、実践のためのプロセスについて解説
組織のIT資産を保護する対策として「アタックサーフェスマネジメント(Attack Surface Management:ASM)」が注目を集めています。サイバー攻撃の対象となるIT資産を継続的に発見・評価・管理する取り組みです。
直近では、2024年7月19日に内閣官房内閣サイバーセキュリティセンター(以下、NISC)が「横断的アタックサーフェスマネジメント(ASM)事業の運用開始に係るプレスリリース」を公表しました。その中では、各府省庁、独立行政法人・指定法人の情報システムを対象に、システムの脆弱性等を調査・是正する横断的アタックサーフェスマネジメント(ASM)事業を2024年7月22日以降、順次開始します。
としており、政府においてもASMの取り組みをスタートしています。
本コラムでは、ASMの概要や注目される理由、実践のためのプロセスについて解説いたします。
(参考:NISC 横断的アタックサーフェスマネジメント(ASM)事業の運用開始に係るプレスリリース)
目次
ASMの概要
ASMとは
ASMとは、インターネットからアクセス可能な組織のIT資産に存在する脆弱性や攻撃ポイントを特定し、継続的に監視・管理するプロセスです。攻撃者の視点に立ち、外部から見える自組織のIT環境を網羅的に把握することで、サイバー攻撃のリスクを低減します。
潜在的な脆弱性や攻撃ポイントは「アタックサーフェス」と呼ばれます。これらを特定し、管理、減少させることで組織のセキュリティを強化できます。
ASMが注目される理由
ASMが注目されるようになった背景としては、主に以下が挙げられます。
1.サイバー攻撃と高度化
サイバー攻撃は年々高度化しており、ランサムウェア、標的型攻撃、ゼロデイ攻撃など、従来の防御策では対応が困難な脅威が増加しています。攻撃者は常に新しい手法を開発し、セキュリティの穴を探っていることから、組織の脆弱性を継続的に評価する仕組みが必要になってきています。
2. デジタル環境の複雑化
オンプレミスのシステム、クラウドサービス、IoTデバイス、モバイル端末など、従来と比べ、企業が管理すべきIT資産が増加しています。また、コロナを機にリモートワークが一般化したことで従業員が企業ネットワーク外からアクセスする機会も増えました。こうしたデジタル環境の変化により、すべての脆弱性や攻撃ポイントを把握することは困難になっています。
例えば、各事業部門が独自に導入したクラウドサービスや、海外子会社が運用するWebサイトなど、情報システム部門が把握していないIT資産(シャドーIT)が増加しています。これらはセキュリティ対策が不十分なまま放置されやすく、攻撃の入口として狙われるリスクが高まっています。
上記のような進化し続ける脅威やデジタル環境の複雑化へ効果的に対応するための対策として、ASMが注目されています。
ASMを導入するメリット
1. 脆弱性の早期発見と修正
ASMにより、システムやネットワークに関する脆弱性を早期に発見し、修正することができます。これにより、攻撃者が悪用する前にリスクを低減し、セキュリティを強化することができます。
2. セキュリティリスクの可視化
ASMにより、組織の全体的なセキュリティリスクを可視化することができます。これによりどの部分が特に脆弱であり、どこに重点的に対策を講じるべきかを明確に把握できます。
また、情報システム部門が把握していないIT資産や、意図せずインターネット上に公開されているIT資産を特定できる可能性もあります。
3. ガイドライン遵守の支援
多くの業界では、セキュリティ要件に関するガイドラインが定められているケースが多いです。ASMを活用することで、これらの要件を満たしやすくなり、自組織のセキュリティ強化に繋げることができます。
ASMと脆弱性診断との違い
ASMと脆弱性診断にはその目的に大きな違いがあります。ASMは攻撃可能な領域を特定し、それらを最小化することを目的とするセキュリティ戦略です。一方、脆弱性診断は特定のシステムやネットワークの脆弱性を発見し、対策することに焦点を置いています。
| 内容 | 目的 | 範囲 | 頻度 | |
|---|---|---|---|---|
| ASM | 組織の全体的なアタックサーフェスを特定、管理、削減するプロセス。 | 潜在的な攻撃ベクトルを特定し、全体的なセキュリティリスクを軽減すること。 | ネットワーク、アプリケーション、エンドポイント、クラウドリソースなど、組織全体のIT資産を対象とする。 | 継続的なプロセスで、組織のIT環境の変化に応じて常に更新される。 |
| 脆弱性診断 | 特定のシステム、アプリケーション、ネットワークの脆弱性を特定し評価するプロセス。 | 既知の脆弱性を発見し、それらを修正するための具体的な推奨事項を提供すること。 | 特定のIT資産や環境に焦点を当てる。 | 定期的に実施されることが多いが、アタックサーフェスマネジメントほど継続的ではない。 |
このようにASMと脆弱性診断は、どちらか一方を実施していれば良いわけではなく、自社の環境に応じて併用を検討しても良いでしょう。
ASMの実践プロセス
ASMは以下の4つのステップで実施します。それぞれのプロセスを継続的に繰り返すことが重要です。
ステップ1:攻撃面の発見
ASMの第一歩は、組織のIT資産を正確に把握することです。これには、サーバー、ネットワーク機器、エンドポイントデバイス、クラウドサービス、ウェブアプリケーション、さらにはIoTデバイスまで、組織が保有または利用する全てのIT資産が含まれます。
資産の把握には、一般的に専用のツールが利用されます。ツールを利用することでネットワーク上の機器やサービスを自動的にスキャンし、一覧化することが可能です。しかしながら、ツールだけでは必ずしもすべてのIT資産を特定できないケースもあるため、自組織の各部門の協力を得ながら、「シャドーIT」と呼ばれる非公式に導入されたサービスも含めて把握することが重要になります。
次に、特定された資産の潜在的な脆弱性を洗い出します。これには、既知の脆弱性データベース(例:CVE)との照合や脆弱性スキャン用のツールを組み合わせながら行います。また、設定ミスや不適切なアクセス権限設定などの人為的な脆弱性も見落とさないよう注意が必要です。
ステップ2:攻撃面の情報収集
特定されたアタックサーフェスは、以下の観点を考慮しながら実際に攻撃を受けた場合にどの程度リスクがあるのかについて評価を行います。
- 脆弱性の深刻度
- 潜在的な影響(データ漏洩、サービス停止など)
- 攻撃の容易さ
- 資産の重要度
これらの要素を総合的に判断しながら、リスク評価を行い、対応の優先順位を決定していきます。限られたリソースを効果的に活用するためには、優先順位の高いリスクから順に対処していくことが重要です。
※この段階では、対象システムに負荷をかけないパッシブスキャンで実施することが一般的です。未把握の資産も対象となるため、システムへの影響を最小限に抑える必要があります。
ステップ3:リスクの評価
ステップ2で収集した情報をもとに、発見された脆弱性のリスクを評価し、対応の優先順位を決定します。
評価では以下の観点を総合的に判断します。
- 脆弱性の深刻度: CVSSスコアなどで影響の大きさを確認
- 攻撃の容易さ: 悪用に必要な技術レベルや条件
- 資産の重要度: 顧客情報や業務システムなど組織における重要性
- 潜在的な影響: データ漏洩、サービス停止など想定される被害の範囲
これらを踏まえ、各脆弱性にリスクレベル(高・中・低)を設定します。限られたリソースを効果的に活用するため、リスクの高いものから順に対処していくことが重要です。
ステップ4:リスクへの対応
評価結果に基づいて、アタックサーフェスを削減するための具体的な対応を実施します。主な対応には以下のようなものがあります。
不要なサービスやポートの無効化
使用していないサービスや開放されたポートは、攻撃者の侵入口となる可能性があります。定期的に必要性を見直し、不要なものは速やかに無効化しましょう。
ソフトウェアの更新
既知の脆弱性に対するパッチを迅速に適用することで、攻撃のリスクを大幅に低減できます。自動更新の設定や、パッチ管理ツールの導入を検討しましょう。
アクセス制御の強化
最小権限の原則に基づき、ユーザーやシステムに必要最小限のアクセス権限のみを付与するようにしましょう。多要素認証の導入も効果的です。
マイクロセグメンテーション化
ネットワークを論理的に細かく分割することで、重要な資産が被害を受ける影響範囲を限定できます。
エンドポイント保護
マルウェア対策ソフトやEDRの導入により、端末レベルでの防御を強化します。
ALSOKの関連商品
継続的なモニタリングと管理
ASMは一度行えば終わりというものではありません。技術の進化や組織の変化に伴い、アタックサーフェスは常に変化します。そのため、継続的なモニタリングと管理が不可欠です。アタックサーフェスの変化をリアルタイムで監視し、新たな脅威や異常を即座に検知する体制を整えていくことが重要となります。
また、インシデント対応計画の策定も重要です。アタックサーフェスの管理を徹底しても、完全に攻撃を防ぐことは困難です。そのため、攻撃を受けた際の対応手順を事前に定めておくことで、被害を最小限に抑え、迅速な復旧を図ることができます。
ASMで発見される脆弱性の例
ASMによって、これまで把握されていなかった脆弱な状態のIT資産が発見されるケースがあります。実際の診断でよく見つかる例としては以下が挙げられます。
- サポート終了したソフトウェアやOSの利用
- 既知の脆弱性を持つWordPressプラグインの使用
- 公開されるべきでない情報の閲覧可能状態(データベース、設定ファイル、Gitリポジトリなど)
- 不要なポートやサービスの開放
- 適切でないアクセス権限設定
これらの脆弱性は、攻撃者にとって侵入の足がかりとなります。ASMによる定期的な監視と迅速な対応が求められます。
ASMの課題
ASMを効果的に実施する上では、いくつかの課題があります。
急速に変化するIT環境への対応
クラウドコンピューティング、IoT、AIなどの新しい技術の導入に伴い、アタックサーフェスが拡大・複雑化します。これらの新技術特有のリスクを理解し、適切に管理する必要があります。
組織全体の協力が必要
ASMは、IT部門やセキュリティ部門だけではなく、全ての従業員がセキュリティの重要性を理解し、日々の業務の中でセキュリティを意識することが求められます。そのためには、経営層の強いコミットメントと、継続的な教育・啓発活動が不可欠です。
コストと効果のバランス
アタックサーフェスを完全に制御しようとすると、膨大なコストがかかる可能性があります。組織のリスク許容度を考慮しつつ、適切なバランスを見出すことが重要です。
ASMツールとサービスの選択
ASMを導入する方法は大きく2つあります。
ASMツール
自社でツールを導入し、自動的にIT資産の検出や脆弱性の検知を行います。高頻度での実施が可能で、コストを抑えられますが、検出結果の精査や運用に一定の工数が必要です。
ASMサービス
専門家による分析結果を定期レポートで受け取ります。過検知や誤検知が少なく運用負担も軽減されますが、実施頻度は低くなり、コストは高めになります。
自組織の規模、セキュリティ体制、予算を考慮して適切な方法を選択しましょう。近年では、ツールとサービスを組み合わせた提供形態も増えています。
参考になるガイドライン
参考になるガイドラインとしては、2023年5月29日に経済産業省が公表した「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」があります。
ASMの定義や実践方法についてまとめられている他、ASMを取組実態や課題などをヒアリングした際の事例も紹介されているため、自組織で検討を進める際に参考にすると良いでしょう。
まとめ
ASMを実践することにより、組織のIT資産とそのリスクを包括的に把握・管理できるため、サイバー攻撃のリスクを大幅に低減することができます。
しかしながら、ASMは継続的な取り組みであり、組織全体の協力を得ながら進めていく必要があります。また、技術の進化に合わせて、常に新しい脅威や脆弱性に対応できる柔軟性も求められます。
今後、AIや機械学習技術の発展により、より高度で効率的なASMが可能になると期待されています。例えば、脅威インテリジェンスと連携した自動的なリスク評価や、予測分析に基づく先制的な対策などが実現するかもしれません。このようなテクノロジーの進化にも注視しながら、人材育成や組織文化の醸成にも取り組んでいくことで、より強固なセキュリティ体制を構築していきましょう。
